Alguém mexe com iptables?

brucebond007 · 3 de maio de 2016

Gente é o seguinte, não estou conseguindo configurar o iptables do meu ubuntu 14.04 para fazer o bloqueio de entrada de pacotes por portas. É o seguinte: gostaria de barrar os pacotes de internet através da porta 80 de forma que o meu proprio servidor não conseguiria mais acessar a mesma. Pois bem, em vários locais e cursos que pesquisei na net dava que era pra fazer isso:

iptables -A INPUT -p tcp --destination-port 80 -j DROP
iptables -A INPUT -p tcp --destination-port 443 -j DROP
iptables -A INPUT -p tcp --destination-port 22 -j DROP
iptables -A INPUT -p tcp --destination-port 1234 -j DROP
iptables -A INPUT -p tcp --destination-port 21 -j DROP
iptables -A INPUT -p tcp --destination-port 12345 -j DROP
iptables -A INPUT -p tcp --destination-port 20 -j DROP

Acontece que digitei e confirmei todas essas linhas no terminal e visualizei as regras atráves do comando iptables -L mas o que está havendo é consigo acessar a internet, acessar todos os sites e fazer todos os downloads possíveis, resumindo a internet continua funcionando perfeitamente bem, mesmo com todos esses bloqueios configurados. E não há regras anteriores a estas, porque as mencionadas acima foram as primeiras regras que criei já pra bloquear tudo.

Não sei o que está havendo, há mais alguma configuração pra fazer que os referidos sites não citaram?

Édnei Rodrigues · 3 de maio de 2016

Joga a saída do comando iptables -L por gentileza.

Amanda Santini · 3 de maio de 2016

Mais fácil seria:

Bloquear toda a entrada (iptables -P INPUT DROP);
Bloquear saida (iptables -P OUTPUT DROP);
Liberar só as portas que você quer usar;

Dê uma olhada nesse tópico, talvez te ajude:

brucebond007 · 7 de maio de 2016

@AmarildoJr obrigado pela sugestão vou tentar fazer isso, grato

brucebond007 · 13 de maio de 2016

@AmarildoJr Cara tentei fazer isso, achei até uma dica na internet que ensinava da seguinte maneira:

iptables -A INPUT -j drop

iptables -A OUTPUT -j drop

iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3128 --syn -j ACCEPT

não foiiiiiii!!!!!!!!!!!!!!!!!! faço o teste tentando pingar no site do google não pinga, por algum motivo os pacotes de internet não fluem pela porta 80! Aí pra não falar que não tentei, fiz o processo inverso, jogando o bloqueio para baixo e deixando as regras de aceitação acima ( coisa que vi funcionar quando configurei o firewall para bloquear tudo, menos o ping vindo de uma máquina na rede, coloquei primeiramente para aceitar os pacotes vindos da máquina x na rede e depois coloquei pra bloquear tudo, funcionou de boa) , mas com a porta 80 tá um caso sério, não sei se o fato de eu estar virtualizando o ubuntu no virtual box e captando os pacotes da internet por meio da configuração bridge da placa de rede que este software fornece, não está afetando algo....

Segue o meu iptables -L para analise:

Amanda Santini · 14 de maio de 2016

Não tem porque o Ubuntu fazer isso. Ou é você que está fazendo, ou deve haver algo no roteador ou modem.

Essas suas regras estão estranhas. Você as tirou de onde?

brucebond007 · 16 de maio de 2016

@AmarildoJr as regras estranhas as tirei da sua sugestão nesse mesmo post, onde voce falou:

"Mais fácil seria:

Bloquear toda a entrada (iptables -P INPUT DROP);

Bloquear saida (iptables -P OUTPUT DROP);

Liberar só as portas que você quer usar; "

mas tive que configurar ao contrário da sua sugestão, quando a ideia era que a máquina com ubuntu apenas aceitasse o ping de uma máquina x na rede. primeiro liberei com a ação ACCEPT apenas para os pacotes advindos da máquina x e depois bloquiei as entradas e saídas conforme suas sugestões.

Agora o meu grande problema tá sendo com relação a porta 80, não consigo somente libera-la para receber pacotes de forma alguma. Só pra você ter uma ideia, pela forma como estão configuradas as chains na figura, era pra barrar os pacotes de internet ou para aceita-los?

Amanda Santini · 17 de maio de 2016

Em 16/05/2016 às 17:52, brucebond007 disse:

primeiro liberei com a ação ACCEPT apenas para os pacotes advindos da máquina x e depois bloquiei as entradas e saídas conforme suas sugestões.

Expandir

OK. Como você fez isso? (exatamente, cada comando)

Em 16/05/2016 às 17:52, brucebond007 disse:

Só pra você ter uma ideia, pela forma como estão configuradas as chains na figura, era pra barrar os pacotes de internet ou para aceita-los?

Expandir

Elas aparentemente estão para aceitar tudo, só não entendi o porquê daquele "FYN, SYN, RST", etc estarem lá.

Pelo visto você não bloqueou nada, e nem abriu nada. OU se fez, esqueceu de salvar as regras e recarregá-las na inicialização.

brucebond007 · 24 de maio de 2016

@AmarildoJr olá amigo, desculpe mas fui muito burro, estava testando a conectividade com os sites da web pelo terminal do ubuntu e aí é claro que pinga nos sites, simplesmente criei uma regra de bloqueio do http tanto para INPUT como para OUTPUT e bloqueou os sites, não conseguia de forma alguma acessar pelo broswer. Aí criei uma regra para tanto de INPUT como OUTPUT para aceitar os pacotes pela porta 80 e bloquiei outras portas, funcionou....

valeu, obrigado pela atenção