Duvida em uma Regra de IPTABLES

wallacef · 05-01-2006

Olá pessoal eu estou estudando IPTABLES (sou totalemente novato em IPTABLES, ainda não entendo muita coisa). Me surgio uma dúvida nesta regra:

IPTABLES -A FORWARD --dport 80 -s eth0 -d eth1 -j ACCEPT

O que eu entendi nesta regra é que todo o tráfego que for da porta 80, é redirecionado para a segunda interface de rede.

Minha duvida:

A minha dedução está correta ou não?
A máquina firewall (que possui a eth0 e a eth1) vai acessar HTTP? ou apenas quem está atras da eth1?

HELP ME

felco · 05-01-2006

Ta errado.

o parametro -s e -d esperam um valor igual a um numero IP, nesse caso o certo seria usar -i e -o

-s = --source -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se a origem dos dados for o mesmo endereco IP definido
-d = --destination -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se o destino dos dados for o mesmo endereco IP definido

-i = --input -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a entrada dos dados for feita/estiver sendo feita pela interface definida
-o = --output -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a saida dos dados for feita/estiver sendo feita pela interface definida

* Ex.: lo, eth0, ppp0, br0, etc

wallacef · 05-01-2006

Postado originalmente por felco

Ta errado.

o parametro -s e -d esperam um valor igual a um numero IP, nesse caso o certo seria usar -i e -o

-s = --source -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se a origem dos dados for o mesmo endereco IP definido
-d = --destination -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se o destino dos dados for o mesmo endereco IP definido

-i = --input -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a entrada dos dados for feita/estiver sendo feita pela interface definida
-o = --output -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a saida dos dados for feita/estiver sendo feita pela interface definida

* Ex.: lo, eth0, ppp0, br0, etc

Portanto esta regra estaria corre eu substituindo por "-i e -o" ou depende da necessidade?

felco · 05-01-2006

Bom no caso voce teria que fazer as seguintes regras, pra que fosse efetivo:

Código:

iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

Quando voce tem em mente compartilhamente de Internet, em outras palavras quando voce controla o filtro de pacotes em Gateway Linux, voce trabalha em cima da Chain FORWARD, essa chain vai tratar tantos os pacotes quando vao ao servidor externo(Internet) quanto na volta quando o servidor externo(Internet).

Por isso voce tem 2 regras, a primeira quando o pacote esta vindo do servidor externo e a outra quando o pacote esta saindo para o servidor externo.

wallacef · 06-01-2006

Postado originalmente por felco

Bom no caso voce teria que fazer as seguintes regras, pra que fosse efetivo:

Código:

iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

Quando voce tem em mente compartilhamente de Internet, em outras palavras quando voce controla o filtro de pacotes em Gateway Linux, voce trabalha em cima da Chain FORWARD, essa chain vai tratar tantos os pacotes quando vao ao servidor externo(Internet) quanto na volta quando o servidor externo(Internet).

Por isso voce tem 2 regras, a primeira quando o pacote esta vindo do servidor externo e a outra quando o pacote esta saindo para o servidor externo.

Cara mas neste caso se eu usar a regra "iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT" eu não estaria "servindo" algo, como uma home page? Sou leigo tá, não liga para as perguntas esdruxulas.

**Patrick** · 08-01-2006

Postado originalmente por wallacef

Postado originalmente por felco

Bom no caso voce teria que fazer as seguintes regras, pra que fosse efetivo:

Código:

iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

Quando voce tem em mente compartilhamente de Internet, em outras palavras quando voce controla o filtro de pacotes em Gateway Linux, voce trabalha em cima da Chain FORWARD, essa chain vai tratar tantos os pacotes quando vao ao servidor externo(Internet) quanto na volta quando o servidor externo(Internet).

Por isso voce tem 2 regras, a primeira quando o pacote esta vindo do servidor externo e a outra quando o pacote esta saindo para o servidor externo.

Cara mas neste caso se eu usar a regra "iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT" eu não estaria "servindo" algo, como uma home page? Sou leigo tá, não liga para as perguntas esdruxulas.

nao acho que tenha necessidade de colocar "-i eth1" e "-o eth0" na regra, coloca um ou outro, eu prefico colocar -i.

quanto a sua pergunta, a chain FORWARD quer dizer que aquelas regras vao atuar nos pacotes que estao passando por suas interfaces, ou seja, vindo da eth1 e indo para a eth0, ou vice-versa logicamente...

essa chain serviria para voce liberar serviços dentro da sua rede interna na questao que voce colocou ela serviria se voce tivesse um servidor web sem ip real na sua rede e quer redirecionar a porta 80 do seu firewall para o ip deste servidor. para liberar a porta 80 no mesmo servidor do firewall voce tem que usar a chain INPUT.

acho que ficou complicada e explicação, :? mas qualquer coisa voce pergunta ae denovo...

falou
8)

fabio Jung · 09-01-2006

IPTABLES -A FORWARD --dport 80 -s eth0 -d eth1 -j ACCEPT

Apesar de eu achar que -s e -d nao funcionam com interfaces....

Essa regra em 1º lugar nao ta direcionando nada!

o -s é source o -d destination ...

voce esta aceitando o FORWARD da porta 80 no seu servidor de origem eth0 com destino eth1

não faz sentido para mim!!! voce devia usar de origem um ip ou uma rede especifica e o mesmo serve para destino.... sei lá

VOCE QUER ESSA REGRA PARA QUE AFINAL??????

EXPLIQUE E QUEM SABE POSSOAMOS ENCONTRAR O QUE VOCE PRECISA!!!

OK?

Fábio Jung

Adm. de Redes

**xstefanox** · 09-01-2006

IPTABLES -A FORWARD --dport 80 -s eth0 -d eth1 -j ACCEPT

Apesar de eu achar que -s e -d nao funcionam com interfaces....

Essa regra em 1º lugar nao ta direcionando nada!

o -s é source o -d destination ...

voce esta aceitando o FORWARD da porta 80 no seu servidor de origem eth0 com destino eth1

não faz sentido para mim!!! voce devia usar de origem um ip ou uma rede especifica e o mesmo serve para destino.... sei lá

VOCE QUER ESSA REGRA PARA QUE AFINAL??????

EXPLIQUE E QUEM SABE POSSOAMOS ENCONTRAR O QUE VOCE PRECISA!!!

OK?

Fábio Jung

Adm. de Redes

Faz sentido a partir do momento que ele tá usando política DROP e quer liberar a porta 80 de uma interface para outra do servidor que tá servindo como roteador, meu pequeno padawan. Claro que seria mais sensato liberar tudo.

Fabio Jung · 10-01-2006

Tb te amo stefano!!!!

auhauhahua

felco · 10-01-2006

Postado originalmente por xstefanox

IPTABLES -A FORWARD --dport 80 -s eth0 -d eth1 -j ACCEPT

Apesar de eu achar que -s e -d nao funcionam com interfaces....

Essa regra em 1º lugar nao ta direcionando nada!

o -s é source o -d destination ...

voce esta aceitando o FORWARD da porta 80 no seu servidor de origem eth0 com destino eth1

não faz sentido para mim!!! voce devia usar de origem um ip ou uma rede especifica e o mesmo serve para destino.... sei lá

VOCE QUER ESSA REGRA PARA QUE AFINAL??????

EXPLIQUE E QUEM SABE POSSOAMOS ENCONTRAR O QUE VOCE PRECISA!!!

OK?

Fábio Jung

Adm. de Redes

Faz sentido a partir do momento que ele tá usando política DROP e quer liberar a porta 80 de uma interface para outra do servidor que tá servindo como roteador, meu pequeno padawan. Claro que seria mais sensato liberar tudo.

yep...xstefanox mando bem

Em relacao sua pergunta, wallacef, sobre "servindo algo", foi oque o amigo Patrick falou, quando voce quer liberar o acesso a algo no firewall, no caso um servico web, voce usa a chain INPUT.

Tópico: Duvida em uma Regra de IPTABLES

LinkBack

Ferramentas de Tópicos

Avalie Este Tópico