Re: DROPar INPUT sem travar tudo
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pedro - Debian wrote:
> Olá pessoal,
Olá,
> Estou começando usar a política feche tudo o que não está usando e
> libere somente o que precisa.
Ok, boa idéia. É o que uso em todos os firewalls que instalo e
administro.
> Bom em um tutorial o cara pediu para executar iptables -P INPUT DROP, só
> que ai travou tudo, nem no console da própria máquina conseguia fazer
> logon.
Estranho. Um DROP como padrão impediria a conexão a serviços de rede,
mesmo tentando conectar aos mesmos localmente, mas não impediria o login
local.
Você por acaso usa NIS ou LDAP e autentica em um servidor de
logon/autenticação em rede ou mesmo em um serviço NIS ou LDAP local ?
Isso poderia explicar o problema que relatou.
> Já tentei liberar apenas o localhost mas também trava ( -A INPUT -s
> localhos -j ACCEPT). O que mais devo liberar para deixar a máquina
> continuar funcionando e todas as demais portas fechadas. Neste caso vou
> usar apenas a porta 22 também (ssh).
Eu costumo usar o seguinte trecho (uso um pouco diferente, estou
simplificando aqui para fins didáticos) :
iptables -A INPUT -i lo -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT
Para dropar tudo (bem, tecnicamente, quase tudo), uso :
for chain in INPUT OUTPUT FORWARD ; do
iptables -P $chain DROP
done
E, como você já deve saber, para liberar o ssh, uso :
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Você pode precisar de uma regra tratando os pacotes de retorno caso
não use um firewall statefull. Se for o caso, pode precisar de :
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> Já dei uma olhada nos tutoriais, mas todos os exemplos que usei tive que
> usar em conjunto o botão reset pois travou tudo.
:-) Espero que as dicas acima ajudem. Qualquer coisa, pergunte (na
lista).
- --
André Luís Lopes
andrelop@debian.org
http://people.debian.org/~andrelop
Public GPG KeyID : 9D1B82F6
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFFALHSW4/i9Z0bgvYRAnHRAJ9/9DZSqRN5XhF3pJj3h1zWoU7X6ACfeX18
2kUK3dN3NGSqkJNuMr3ISB8=
=i/0p
-----END PGP SIGNATURE-----
Reply to: