[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: IPTABLES - dúvida

Falou pessoal!

Obrigado pela ajuda!


abraços,

Romulo

On 9/2/05, Leonardo Machado <liquid.byte@gmail.com> wrote:
> Em Sexta 02 Setembro 2005 02:05, Romulo Sousa escreveu:
> > Olá pessoal,
> >
> > Estou com uma dúvida em relação a maneira como as chains são
> > interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma
> > chain INPUT aceitando um tráfego cujo o endereço IP de origem foi
> > especificado. Os IP's restantes foram descartados com o target DROP.
> > Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem
> > pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir
> > uma nova chain INPUT para filtrar os pacotes que chegam por um segundo
> > endereço.
> > Dúvida: posso simplesmente escrever sequencialmente uma nova chain
> > mesmo que ela tenha sido anteriormente negada?
> >
> > ex:
> > #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT
> > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
> 
> existe um jeito mais elegante de escrever isso!
> 
> iptables -A ! -s 200.0.0.1 -p tcp --dport 21 -j DROP
> a exclamaçao é um exceção ta dizendo para rejeitar tudo que vai para a porta
> 21  exceto o que vem do ip 200.0.0.1
> >
> > //adicionando um novo endereço para acesso
> >
> > #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT
> > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP
> >
> > 1 - o iptables aceita esse tipo de "retalho"?
> aceita sim pq ele confere regra por regra!
> mas o mais "elegante" seria voce substituir a regra
> usando
> iptables -R INPUT ! -s 200.0.0.1-200.0.0.2 -p tcp --dport 21 -j DROP
> 
> 
> > 2 - é elegante escrever regras de firewall onde a cada momento que
> > apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu
> > "acorrentar" as regras dessa maneira?
> > 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada
> > já que o pacote vai ser descartado de qualquer maneira (acho!) quando
> > não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem?
> pode sim velho! nao tem necessidade de voce colocar duas regras iguais!
> procure usar sempre o ! para execeção assim voce evitar ficar escrevendo
> varias regras!
> 
> seria interessante voce ler o focalinux avançado , la explica bonitinho
> iptables... vc tb poderia colocar essas regras dentro do /etc/hosts.allow
> e /etc/hosts.deny da uma olhada no focalinux que vai abrir bem sua cabeça!
> abraço!
> 
> 
> 
> isso deve esclarecer sua duvida tirado do focalinux
> 10.2.4 Inserindo uma regra - I
> Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso
> firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída
> no final do chain e o tráfego seria rejeitado pela primeira regra (nunca
> atingindo a segunda). A solução é inserir a nova regra antes da regra que
> bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:
> iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT
> Após este comando, temos a regra inserida na primeira posição do chain (repare
> no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2.
> Desta forma a regra acima será consultada, se a máquina de origem for
> 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o
> destino 127.0.0.1 será bloqueado na regra seguinte.
> 
> 
> abraços
> 
> 
> >
> > Um grande abraço a todos,
> >
> > Romulo Sousa
> 
> --
> Liquid_Byte Says:
> 
> Beggars Cannot Be Choosers
>
Reply to: