[CentOS-pt-br] Iptables!

Marcelo Beckmann marcelobeckmann em bsd.com.br
Terça Novembro 22 19:51:15 UTC 2016 

Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <
glenio.11622x em aparecida.go.gov.br> escreveu:

> Amigos da lista,
>
> Abaixo tenho uma regra que libera determinados IP's da minha rede para
> passarem direto para um determinado site em determinadas portas que roda
> uma aplicação.
>
> Sei que tem como converter essa regra de maneira que o meu firewall possa
> acessar o site time.windows.com na porta de NTP para atualizar a hora, só
> que eu não sei como fazer.
>
>
Se for para o próprio firewall fazer o acesso, então isso é tratado nas
cadeias INPUT e OUTPUT, por exemplo:

Obtendo o IP do destino
]$ dig +short time.windows.com
time.microsoft.akadns.net.
13.89.46.24

iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT

Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao
invés do time.windows.com.
No caso eu utilizo no meu /etc/ntp.conf
server 200.144.121.33
server 200.192.112.8
server 200.135.0.3

E adaptando as regras de iptables para esses IPs.



> Gostaria também de criar essa regra permitindo que todos da minha rede
> acessem o firewall na porta NTP para se atualizarem.
>

Para permitir a sua rede interna consultar o ntp do próprio firewall, você
pode fazer a regra casando com a interface de rede da rede interna e/ou o
endereço da rede interna e a porta, por exemplo:
iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -i ethX -p udp --sport 123 -j ACCEPT

ou
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT

adaptando ethX e 192.168.0.0/24 para o seu ambiente



>
> Sei que poderia também criar a regra para que todas passem direto nesta
> porta, mas é melhor não, para não sobrecarregar a NET aqui.
>

Rede interna passando pelo firewall e saindo para a internet então você
trata na FORWARD. Exemplo:

iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j
ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport 123 -j
ACCEPT

Essas regras podem variar dependendo da política default e da ordem das
regras, regras já existentes antes, etc..







>
> Vocês podem me ajudar?
>
> A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m
> multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
>
> Glênio Côrtes Himmen
> Super. Municipal de Trânsito de Aparecida
> glenio.11622x em aparecida.go.gov.br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.centos.org/pipermail/centos-pt-br/attachments/20161122/874c54a2/attachment.html>

Mais detalhes sobre a lista de discussão CentOS-pt-br