Ubuntu 9.04, reclamações do Firestarter mesmo atrás do roteador NAT

0

Estou atrás de um roteador. Na configuração do roteador, eu bloqueei:

  • all (entrada e saída) UDP
  • entrada ICMP

iptables locais são configurados com o assistente do Firestarter:

  • bloqueia todas as conexões de entrada
  • permite todas as conexões de saída
  • filtrar ICMP, exceto ping
  • bloqueia a transmissão da rede externa

Agora, o Firestarter ainda reclama de conexões TCP e ICMP bloqueadas ao meu IP interno (192.168.0. *), em portas diferentes. Não há reclamações de UDP, mas apenas porque o roteador bloqueia todas elas. Anteriormente, com o UDP-s de entrada (mas não de saída) bloqueado, eu também estava obtendo toneladas de conexões UDP bloqueadas (especialmente com o lançamento do Skype).

Eu não entendo como é possível que as reclamações do Firestarter sobre conexões TCP bloqueadas. Meu entendimento é que por trás do roteador eu não posso ser acessado do mundo externo (devido à tradução NAT), e o roteador passa apenas os pacotes de entrada que correspondem aos pacotes de saída. Agora, o iptables deve funcionar da mesma maneira - ele deve aceitar pacotes de resposta de entrada que correspondam aos de saída antigos. Portanto, se o pacote TCP conseguir passar do meu computador para o servidor externo, a resposta nunca deverá ser bloqueada.

Além disso, eu não entendo como os pacotes ICMP podem passar pelo roteador e travar no meu iptables - todos devem estar bloqueados no roteador (note que todos os ICMPs que chegam ao meu iptables estão na porta 80, talvez isso seja uma pista)

Alguém poderia me apontar na direção certa sobre como corrigir esses problemas (se houver algum, talvez eu não esteja informado).

    
por Tomasz Zieliński 28.09.2010 / 01:44

1 resposta

0

O ICMP é necessário para operações IP adequadas, não bloqueá-las, embora você possa bloquear solicitações de eco ICMP. Não há porta ICMP 80, mas você provavelmente está recebendo mensagens inacessíveis para vários sites na porta 80. As mensagens ICMP não irão travar seus iptables.

Você deve ter o ntp em execução e isso exigirá a porta 123 aberta no UDP. O DNS na porta 53 também deve estar aberto no UDP e TCP.

Se você estiver executando o Skype, você deve permitir UDP de saída e TCP nas portas efêmeras (32768 a 61000) no Ubuntu, bem como algumas outras. Você também precisará permitir a entrada de UPD e TCP na porta que o Skype está usando. Veja minha postagem no Firewall do Skype .

Você deve esperar algum tráfego em várias portas dos hosts dentro do seu firewall. Você também receberá pacotes da Internet se estiver no endereço IP designado como DMZ em seu roteador / firewall. O firewall do roteador também deve encaminhar pacotes em portas relacionadas para protocolos como FTP.

    
por 28.09.2010 / 05:58