Re: DROPar INPUT sem travar tudo

To: debian-user-portuguese@lists.debian.org
Subject: Re: DROPar INPUT sem travar tudo
From: Andre Luis Lopes <andrelop@debian.org>
Date: Thu, 07 Sep 2006 20:57:07 -0300
Message-id: <[🔎] 4500B1D3.8010402@debian.org>
In-reply-to: <[🔎] 44FF236D.9030705@yahoo.com.br>
References: <[🔎] 44FF236D.9030705@yahoo.com.br>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pedro - Debian wrote:
> Olá pessoal,

Olá,

> Estou começando usar a política feche tudo o que não está usando e
> libere somente o que precisa.

   Ok, boa idéia. É o que uso em todos os firewalls que instalo e
administro.

> Bom em um tutorial o cara pediu para executar iptables -P INPUT DROP, só
> que ai travou tudo, nem no console da própria máquina conseguia fazer
> logon.

   Estranho. Um DROP como padrão impediria a conexão a serviços de rede,
mesmo tentando conectar aos mesmos localmente, mas não impediria o login
local.

   Você por acaso usa NIS ou LDAP e autentica em um servidor de
logon/autenticação em rede ou mesmo em um serviço NIS ou LDAP local ?
Isso poderia explicar o problema que relatou.

> Já tentei liberar apenas o localhost mas também trava ( -A INPUT -s
> localhos -j ACCEPT). O que mais devo liberar para deixar a máquina
> continuar funcionando e todas as demais portas fechadas. Neste caso vou
> usar apenas a porta 22 também (ssh).

  Eu costumo usar o seguinte trecho (uso um pouco diferente, estou
simplificando aqui para fins didáticos) :

iptables -A INPUT -i lo -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

   Para dropar tudo (bem, tecnicamente, quase tudo), uso :

for chain in INPUT OUTPUT FORWARD ; do
  iptables -P $chain DROP
done

   E, como você já deve saber, para liberar o ssh, uso :

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

   Você pode precisar de uma regra tratando os pacotes de retorno caso
não use um firewall statefull. Se for o caso, pode precisar de :

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT


> Já dei uma olhada nos tutoriais, mas todos os exemplos que usei tive que
> usar em conjunto o botão reset pois travou tudo.

   :-) Espero que as dicas acima ajudem. Qualquer coisa, pergunte (na
lista).

- --
André Luís Lopes
andrelop@debian.org
http://people.debian.org/~andrelop
Public GPG KeyID : 9D1B82F6

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFALHSW4/i9Z0bgvYRAnHRAJ9/9DZSqRN5XhF3pJj3h1zWoU7X6ACfeX18
2kUK3dN3NGSqkJNuMr3ISB8=
=i/0p
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: DROPar INPUT sem travar tudo
  - From: Pedro - Debian <pedro_debian@yahoo.com.br>

References:
- DROPar INPUT sem travar tudo
  - From: Pedro - Debian <pedro_debian@yahoo.com.br>

Prev by Date: Re: Bug no firefox
Next by Date: Codigos estranhos...
Previous by thread: Re: DROPar INPUT sem travar tudo
Next by thread: Re: DROPar INPUT sem travar tudo
Index(es):
- Date
- Thread