Re: IPTABLES - dúvida

To: debian-portuguese <debian-user-portuguese@lists.debian.org>
Subject: Re: IPTABLES - dúvida
From: Paulo Ricardo Bruck <pauloric@contato.com.br>
Date: Fri, 02 Sep 2005 10:05:36 -0300
Message-id: <[🔎] 1125666336.13900.10.camel@pauloric.intranet>
In-reply-to: <[🔎] 30b2ecf0050901220538470c7b@mail.gmail.com>
References: <[🔎] 30b2ecf0050901220538470c7b@mail.gmail.com>

Em Sex, 2005-09-02 às 02:05 -0300, Romulo Sousa escreveu:
> Olá pessoal,

Olá 
> 
> Estou com uma dúvida em relação a maneira como as chains são
> interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma
> chain INPUT aceitando um tráfego cujo o endereço IP de origem foi
> especificado. Os IP's restantes foram descartados com o target DROP.

oui vc pode setar a politica como DROP:
iptables -P INPUT DROP 
( é mais saudável assim , pois se vc esquecer de liberar algo, com
certeza este algo será dropado..80)

> Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem
> pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir
> uma nova chain INPUT para filtrar os pacotes que chegam por um segundo
> endereço.
ok

> Dúvida: posso simplesmente escrever sequencialmente uma nova chain
> mesmo que ela tenha sido anteriormente negada?
> 
NÂO. se vc negar tudo ele não olha a proxima regra.


> ex:
> #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT
ok tudo o que vier do source 200.0.0.1 com destino a port 21 será aceito

> #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
TUDo que vier de QUALQUER REDE com destino a porta 21 será sumariamnete
DROPADO


> 
> //adicionando um novo endereço para acesso
> 
> #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT
erro erro erro vc já dropou todas as comnexôes com a regra acima de
DROP........

> #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
> 
> 1 - o iptables aceita esse tipo de "retalho"?

NÂO, mas vc pode mudar a sequencia para aceitas de onde vc que e a)
dropar coma regra que vc colocou b) colocar a politica como drop.

> 2 - é elegante escrever regras de firewall onde a cada momento que
> apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu
> "acorrentar" as regras dessa maneira?

é o mais natural. normalmente as redes e regras não são estaticas. vc
tem que de vez em quando liberar ou retirar regras do su firewall.
portanto para facilitar sua vida faça um script delas.....80)

> 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada
> já que o pacote vai ser descartado de qualquer maneira (acho!) quando
> não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem?
> 
novamente depende de como vc setou a politica do seu firewall. Lembra o
iptables -P ???


aconselho a vc ler o melhor tutorial que eu conheço de firewall que é do
Oscar em :
http://iptables-tutorial.frozentux.net/chunkyhtml/index.html

[]s e boa leitura

> Um grande abraço a todos,
> 
> Romulo Sousa
> 
-- 
Paulo Ricardo Bruck - consultor
Contato Global Solutions
tel 011 5031-4932  fone/fax 011 5034-1732  cel 011 9235-4327

Attachment: signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente

Reply to:

References:
- IPTABLES - dúvida
  - From: Romulo Sousa <romulosousa@gmail.com>

Prev by Date: Re: Off- Quanto cobrar ?
Next by Date: RES: Software windows xp
Previous by thread: IPTABLES - dúvida
Next by thread: Re: IPTABLES - dúvida
Index(es):
- Date
- Thread