[MASOCH-L] Firewall Iptables -N (criando uma CHAIN)

Wenderson Souza wendersonsouza at gmail.com
Wed Oct 3 10:54:02 -03 2007 

Ola Lista,

Bem eu tenho um fw iptables mais ou menos assim.

# arquivos
/etc/fw/fw # script principal do firewall
/etc/fw/fw.ips.clientes # aqui contem os ips dos clientes
/etc/fw/fw.portas.forward.tcp # portas liberadas para forward no proto tcp
/etc/fw/fw.portas.forward.udp # portas liberadas para forward no proto udp
e outros mais.. mas onde estou precisando de ajuda é justamente no forward.

voi lá..

### /etc/fw/fw - inicio
...
tenho aqui todas as regras regais comuns de um fw...
politicas de INPUT e FORWARD como DROP
politica de OUTPUT como ACCEPT
...
# aqui entram as regras dos clientes
# um FOR nos IPS
for ip in `cat /etc/fw/fw.ips.clientes`
do
    ## aqui trabalho as permissoes do FORWARD ja que a politica é DROP
    ## FORWARD TCP
    for tcp in `cat /etc/fw/fw.portas.forward.tcp`
    do
        $ipt -A FORWARD -p tcp -s $ip --dport $porta -j ACCEPT
        $ipt -A FORWARD -p tcp -d $ip --sport $porta -j ACCEPT
    done
    ## FORWARD UDP
    for tcp in `cat /etc/fw/fw.portas.forward.udp`
    do
        $ipt -A FORWARD -p udp -s $ip --dport $porta -j ACCEPT
        $ipt -A FORWARD -p udp -d $ip --sport $porta -j ACCEPT
    done
    ## existem algumas regras de acesso a servicos locais..
    ## existem aqui as regras de nat e proxy transparente..
done
...
aqui tenho o resto do script
...
### /etc/fw/fw - fim

o script está beleza, so que quando preciso dar um "restart" no
firewall por exemplo.. demora muito pois tenho muitos clientes na
tabela /etc/fw/fw.ips.clientes, meus clientes estao com mascara /30 e
nao tenho como liberar a range toda.

o que eu estava pensando em fazer é criar uma CHAIN com iptables -N.

mesmo lendo sobre o assunto, ja sabendo como criar a CHAIN, jogar
certo trafego para esta chain, preciso de uma "luz" de como eu
controlo justamente o trafego de FORWARD nesta CHAIN, pois os exemplos
q vi na net utilizam INPUT e OUTPUT.

e apos criar esta CHAIN vocês acham quem minha rotina ira demorar
menos tempo para rodar?

pois criarei a chain apenas uma vez e nos FOR's jogarei o ip para a
CHAIN e nao farei rodar PORTA por PORTA, estou certo neste pensamento?

Espero ter sido claro e que alguem possa me ajudar.

--
Wenderson Souza
e-mail: wendersonsouza at gmail.com
msn: wendersonsouza at msn.com

More information about the masoch-l mailing list