Falou pessoal! Obrigado pela ajuda!
abraços, Romulo On 9/2/05, Leonardo Machado <[EMAIL PROTECTED]> wrote: > Em Sexta 02 Setembro 2005 02:05, Romulo Sousa escreveu: > > Olá pessoal, > > > > Estou com uma dúvida em relação a maneira como as chains são > > interpretadas pelo iptables. Tenho a seguinte situação: introduzi uma > > chain INPUT aceitando um tráfego cujo o endereço IP de origem foi > > especificado. Os IP's restantes foram descartados com o target DROP. > > Entretanto, eu mudei de idéia. Ao invés de ter um único IP de origem > > pelo qual posso acessar um serviço (digamos ftp), eu quero introduzir > > uma nova chain INPUT para filtrar os pacotes que chegam por um segundo > > endereço. > > Dúvida: posso simplesmente escrever sequencialmente uma nova chain > > mesmo que ela tenha sido anteriormente negada? > > > > ex: > > #iptables -I INPUT -p tcp -s 200.0.0.1 --dport 21 -j ACCEPT > > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP > > existe um jeito mais elegante de escrever isso! > > iptables -A ! -s 200.0.0.1 -p tcp --dport 21 -j DROP > a exclamaçao é um exceção ta dizendo para rejeitar tudo que vai para a porta > 21 exceto o que vem do ip 200.0.0.1 > > > > //adicionando um novo endereço para acesso > > > > #iptables -I INPUT -p tcp -s 200.0.0.2 --dport 21 -j ACCEPT > > #iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j DROP > > > > 1 - o iptables aceita esse tipo de "retalho"? > aceita sim pq ele confere regra por regra! > mas o mais "elegante" seria voce substituir a regra > usando > iptables -R INPUT ! -s 200.0.0.1-200.0.0.2 -p tcp --dport 21 -j DROP > > > > 2 - é elegante escrever regras de firewall onde a cada momento que > > apareça uma nova idéia de bloqueio/acesso a um serviço ou porta eu > > "acorrentar" as regras dessa maneira? > > 3 - a última linha (abaixo do segundo IP aceito) pode ser descartada > > já que o pacote vai ser descartado de qualquer maneira (acho!) quando > > não é nem o 200.0.0.1 nem o 200.0.0.2 o IP de origem? > pode sim velho! nao tem necessidade de voce colocar duas regras iguais! > procure usar sempre o ! para execeção assim voce evitar ficar escrevendo > varias regras! > > seria interessante voce ler o focalinux avançado , la explica bonitinho > iptables... vc tb poderia colocar essas regras dentro do /etc/hosts.allow > e /etc/hosts.deny da uma olhada no focalinux que vai abrir bem sua cabeça! > abraço! > > > > isso deve esclarecer sua duvida tirado do focalinux > 10.2.4 Inserindo uma regra - I > Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso > firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída > no final do chain e o tráfego seria rejeitado pela primeira regra (nunca > atingindo a segunda). A solução é inserir a nova regra antes da regra que > bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1: > iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT > Após este comando, temos a regra inserida na primeira posição do chain (repare > no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. > Desta forma a regra acima será consultada, se a máquina de origem for > 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o > destino 127.0.0.1 será bloqueado na regra seguinte. > > > abraços > > > > > > Um grande abraço a todos, > > > > Romulo Sousa > > -- > Liquid_Byte Says: > > Beggars Cannot Be Choosers >