Eu quero permitir todo o tráfego para ip específico, usando o iptables.
tentou adicionar linhas:
/sbin/iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT
... mas ainda não pode acessar o ip remoto (XXX.XXX.XXX.XXX).
algum conselho?
tnx em adv!
EDITAR: com seus conselhos eu mudei o iptables. Ainda não consigo conectar ao servidor remoto. O status do iptables é assim:
[root@myserver ~]# /etc/init.d/iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Table: mangle
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
Table: filter
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
3 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
6 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3718
8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:88
9 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:88
10 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
11 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:8080
12 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:873
13 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:873
14 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8880
15 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
16 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
17 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
18 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
19 ACCEPT tcp -- XXX.XXX.XXX.XXX 0.0.0.0/0
20 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587
22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
23 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
24 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
26 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
27 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
28 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:106
29 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
30 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432
31 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:9008
32 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:9080
33 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
34 DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138
35 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
36 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
37 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
38 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
39 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
40 ACCEPT icmp -- 207.250.234.40 0.0.0.0/0 icmp type 8 code 0
41 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 code 0
42 DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
3 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3718
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:88
8 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:88
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
10 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:8080
11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:873
12 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:873
13 DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
3 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535
6 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3718
8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
10 ACCEPT tcp -- 0.0.0.0/0 XXX.XXX.XXX.XXX
11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:88
12 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:88
13 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
14 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:8080
15 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:873
16 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:873
17 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
[root@myserver ~]#
Acho que você precisa alterar um dos seus sinalizadores -s para um sinalizador -d. Se o seu endereço XXX.XXX.XXX.XXX estiver fora do firewall, ele deverá ser
/sbin/iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d XXX.XXX.XXX.XXX -j ACCEPT
caso contrário, o contrário
EDITAR:
E atualize iptables:
Dependendo da sua configuração:
/etc/init.d/iptables restart
/etc/init.d/networking restart
/etc/init.d/firewall restart
-s indica a origem. Por OUTPUT você vai querer isso como destino ( -d ).
-A acrescenta. Isso adiciona a regra no final da lista de regras, para que a conexão de entrada possa ser descartada por uma regra superior na lista.
Para garantir que todas as conexões de ou para um endereço IP sejam aceitas, altere -A para -I , que insere a regra no topo da lista:
iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT
iptables -I OUTPUT -p tcp -d XXX.XXX.XXX.XXX -j ACCEPT'
Como é o restante do seu conjunto de regras? -A acrescenta, por isso, se você tiver um -p tcp -s xxx.xxx.xxx.xxx -j REJECT ou (mais provavelmente) -j REJECT no final da lista antes de fazer isso, isso não trará nenhum benefício.