Firewall não faz o redirect !!!

GuE · 17-07-2008, 16:51

Boa tarde pessoal preciso implemnetar uma regra de vnc e xdmcp foi criada porem não acessa as maquinas da rede local..
Segue o firewall, tem algo fora de ordem ?

#Ativando Nat
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Limpando configurações anteriores"
iptables -F

#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT

#LIBERA UOL
iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

#LIBERA VNC
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5900 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.1.30

#REDIRECT INTERNET PRO SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionamento XDMCP remote desk
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 177 -j DNAT --to-dest 192.168.1.5
iptables -A FORWARD -p udp -i eth1 --dport 177 -d 192.168.1.5 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp --sport 177 -j DNAT --to-dest 192.168.1.5
iptables -A FORWARD -p udp -i eth1 --sport 177 -d 192.168.1.5 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

#Rede Local Free
iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -j ACCEPT

#Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

Grato...

srg38 · 18-07-2008, 11:53

Vc rodou um iptraf pra ver se todo mundo está batendo na porta certa ?

Se estiver, penso q vc está usando uma regra de saída com um sport (source/entrada) -- isso conflita tudo.

Ñ esqueça q o iptables é sequencial, vc precisa colocar as regras na ordem dos fatos.

Sérgio

GuE · 18-07-2008, 14:00

Então rodei o iptraf nada de anormal, estou usando debian 4, será que tem algo de errado nas regras ou ordem ?

GuE · 18-07-2008, 14:37

Estranho mesmo não sendo da interface de Internet a eth1 criei uma regra so da rede interna e não pega fiz a seguinte regra...

iptables -A FORWARD -i eth0 -p tcp --dport 3900 -d 192.168.1.30 -j ACCEPT

Oque eu posso estar fazendo de errado ou preciso carregar algum modulo ?

galahad · 21-07-2008, 12:49

tá faltando só uma regra de INPUT para permitir que o cliente externo conecte ao firewall nestas portas e possa então ser redirecionado para a máquina interna.

Uma outra observação, você está colocando a regra de masquerade como a primeira regra do teu firewall, eu te aconselho a colocar como a última. E, na hora da limpeza das regras anteriores, você não está limpando a tabela nat. Se der um iptables -t nat -L -n -v, deve aparecer um monte de regras desnecessárias.

17-07-2008, 16:51	#1 (permalink)
Firewall não faz o redirect !!! Boa tarde pessoal preciso implemnetar uma regra de vnc e xdmcp foi criada porem não acessa as maquinas da rede local.. Segue o firewall, tem algo fora de ordem ? #Ativando Nat modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #Limpando configurações anteriores" iptables -F #Portas de INPUT Free #loopback iptables -A INPUT -i lo -j ACCEPT #LIBERA UOL iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT #LIBERA VNC iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5900 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.1.30 #REDIRECT INTERNET PRO SQUID iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 #Redirecionamento XDMCP remote desk iptables -t nat -A PREROUTING -i eth1 -p udp --dport 177 -j DNAT --to-dest 192.168.1.5 iptables -A FORWARD -p udp -i eth1 --dport 177 -d 192.168.1.5 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p udp --sport 177 -j DNAT --to-dest 192.168.1.5 iptables -A FORWARD -p udp -i eth1 --sport 177 -d 192.168.1.5 -j ACCEPT #SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT #FTP #iptables -A INPUT -p tcp --dport 21 -j ACCEPT #DNS iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT #Rede Local Free iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT iptables -A INPUT -p udp -i eth0 -j ACCEPT #Fecha o resto iptables -A INPUT -p tcp --syn -j DROP Grato...	GuE Registrado em: Mar 2003 Posts: 314 Agradeceu: 0 Agradecido 1 vez em 1 Post Reputação: 0

18-07-2008, 11:53	#2 (permalink)
Vc rodou um iptraf pra ver se todo mundo está batendo na porta certa ? Se estiver, penso q vc está usando uma regra de saída com um sport (source/entrada) -- isso conflita tudo. Ñ esqueça q o iptables é sequencial, vc precisa colocar as regras na ordem dos fatos. Sérgio __________________ ##-## Vim fazer o que sei e gosto, estou recomeçando sei que fiquei muito tempo fora. Senti saudades por isso voltei ! --#-- Não me arrependo de ter ido. Quando fui achei que seria melhor para mim ... Mas de que adianta ganhar e não ter ??? --#-- Aqui eu tenho e sei que vou ganhar. Neste mundo sinto meu espírito leve, e voando mergulho no mundo virtual. --##-- Muuuuuito legal .... ##-##	srg38 Registrado em: Feb 2004 Localização: São Paulo Posts: 54 Agradeceu: 3 Agradecido 0 vez(es) em 0 Posts Reputação: 0

21-07-2008, 12:49	#5 (permalink)
tá faltando só uma regra de INPUT para permitir que o cliente externo conecte ao firewall nestas portas e possa então ser redirecionado para a máquina interna. Uma outra observação, você está colocando a regra de masquerade como a primeira regra do teu firewall, eu te aconselho a colocar como a última. E, na hora da limpeza das regras anteriores, você não está limpando a tabela nat. Se der um iptables -t nat -L -n -v, deve aparecer um monte de regras desnecessárias. __________________ Frederico Freire Boaventura (Galahad) LPIC-II \| MCP A resposta ajudou? Agradeça! "Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God)." (By Matt Welsh)	galahad Super Moderador Registrado em: Jun 2008 Localização: Espírito Santo Distribuição: Gentoo Posts: 250 Agradeceu: 10 Agradecido 50 vez(es) em 48 Posts Reputação: 42

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Redirect	cldn	Apache	6	05-09-2008 08:24
Redirect no firewall liberando 2 hosts	evalerio	Proxy/NAT/Firewall	5	22-08-2007 08:58
Redirect de ips e portas	drspockii	Redes/Protocolos	1	25-10-2004 16:03
Range de ip com de redirect	drspockii	Proxy/NAT/Firewall	1	17-10-2004 17:39
redirect pra https	falf	Apache	1	19-03-2003 11:58

Firewall não faz o redirect !!!

Divulgue o Under-Linux.Org

Últimas dos Fóruns

18-07-2008, 14:00	#3 (permalink)
Então rodei o iptraf nada de anormal, estou usando debian 4, será que tem algo de errado nas regras ou ordem ?	GuE Registrado em: Mar 2003 Posts: 314 Agradeceu: 0 Agradecido 1 vez em 1 Post Reputação: 0

18-07-2008, 14:37	#4 (permalink)
Estranho mesmo não sendo da interface de Internet a eth1 criei uma regra so da rede interna e não pega fiz a seguinte regra... iptables -A FORWARD -i eth0 -p tcp --dport 3900 -d 192.168.1.30 -j ACCEPT Oque eu posso estar fazendo de errado ou preciso carregar algum modulo ?	GuE Registrado em: Mar 2003 Posts: 314 Agradeceu: 0 Agradecido 1 vez em 1 Post Reputação: 0

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email