Problemas com Firewall

kjeldorano · 22-07-2008, 9:53

Bom dia para todos..
Estou tentando montar um firewall (iptables) onde trabalho, estou aprendendo, e estou tendo dificuldades.
O serviço que estou precisando é um redirecionamento de um acesso ao firewall na porta 80, para a porta 80 de um servidor com Apache rodando (escutando a porta 80)
Já olhei em varios topicos, mas não consigo fazer o redirecionamento.

Ativo o ip_forward

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Logo após essa regra, tento o redirecionamento

iptables -t nat -A PREROUTING -i eth2 (interface externa) -p tcp --dport 80 -j DNAT --to 172.XXX.XXX.XXX:80

Pelo que entendi, essa linha de comando iria redirecionar para meu servidor o que entrasse pela eth2 destinado à porta 80, mas isso não está acontecendo!

Espero que me ajudem...
Já faz um tempo que estou tendo esse problema...

Obrigado.

galahad · 23-07-2008, 10:55

Como é que estão as políticas padrão do seu iptables?

Como está a tabela de roteamento do seu firewall? Qual é o gateway padrão da sua rede?

Existe mais alguma regra no seu iptables?

kjeldorano · 23-07-2008, 15:23

Bom, acho que ficou meio confuso minha pergunta
Vou falar mais um pouco como estou tentando fazer esse firewall
A maquina firewall possui 3 interfaces de rede, eth0 para rede interna, eth1 para o servidor de web e eth2 para internet
As politicas estão assim: INPUT DROP, FORWARD ACCEPT, OUTPUT ACCEPT
Tentei deixar a politica FORWARD DROP, mas ai não consigo acessar internet pela rede interna nem pelo servidor web.

Tenho as seguintes regras no meu firewall
iptables -A FORWARD -s $IP_SWEB -d $IP_INT -j ACCEPT
iptables -A FORWARD -d $IP_SWEB -s $IP_INT -j ACCEPT

iptables -A FORWARD -d $IP_SWEB -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $IP_SWEB -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth2 -m multiport -p tcp --dport ! 80,443 -j DROP

Regras de roteamento:
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB
iptables -t nat -A POSTROUTING -s $IP_SWEB -j SNAT --to $IP_EXT

Acho que essas são as regras mais importantes as outras são só de proteção contra ping ping of death e regras para acesso da Rede interna para o Servidor Web

Obrigado pela ajuda....

galahad · 23-07-2008, 17:28

Seu problema está na seguinte regra:

Código:

iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB

ele só vai redirecionar para o servidor web o que vier do IP_EXT, ou seja, nada! Troca o -s para -d que deve funcionar.

kjeldorano · 24-07-2008, 9:36

Valeu pela dica, funcionou sim, o redirecionamento ocorreu!
Obrigado

22-07-2008, 9:53	#1 (permalink)
Problemas com Firewall Bom dia para todos.. Estou tentando montar um firewall (iptables) onde trabalho, estou aprendendo, e estou tendo dificuldades. O serviço que estou precisando é um redirecionamento de um acesso ao firewall na porta 80, para a porta 80 de um servidor com Apache rodando (escutando a porta 80) Já olhei em varios topicos, mas não consigo fazer o redirecionamento. Ativo o ip_forward modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Logo após essa regra, tento o redirecionamento iptables -t nat -A PREROUTING -i eth2 (interface externa) -p tcp --dport 80 -j DNAT --to 172.XXX.XXX.XXX:80 Pelo que entendi, essa linha de comando iria redirecionar para meu servidor o que entrasse pela eth2 destinado à porta 80, mas isso não está acontecendo! Espero que me ajudem... Já faz um tempo que estou tendo esse problema... Obrigado. Última edição por kjeldorano : 22-07-2008 às 13:29.	kjeldorano Usuário Registrado em: Jul 2008 Localização: São Paulo Mensagens: 3 Agradeceu: 1 Agradecido 0 vez(es) em 0 Posts Reputação: 0

23-07-2008, 10:55	#2 (permalink)
Como é que estão as políticas padrão do seu iptables? Como está a tabela de roteamento do seu firewall? Qual é o gateway padrão da sua rede? Existe mais alguma regra no seu iptables? __________________ Frederico Freire Boaventura (Galahad) LPIC-II \| MCP A resposta ajudou? Agradeça! "Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God)." (By Matt Welsh)	galahad Super Moderador Registrado em: Jun 2008 Localização: Espírito Santo Distribuição: Gentoo Mensagens: 248 Agradeceu: 10 Agradecido 50 vez(es) em 48 Posts Reputação: 40

23-07-2008, 17:28	#4 (permalink)
Seu problema está na seguinte regra: Código: iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB ele só vai redirecionar para o servidor web o que vier do IP_EXT, ou seja, nada! Troca o -s para -d que deve funcionar. __________________ Frederico Freire Boaventura (Galahad) LPIC-II \| MCP A resposta ajudou? Agradeça! "Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God)." (By Matt Welsh)	galahad Super Moderador Registrado em: Jun 2008 Localização: Espírito Santo Distribuição: Gentoo Mensagens: 248 Agradeceu: 10 Agradecido 50 vez(es) em 48 Posts Reputação: 40

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Problemas com Firewall	wagnercandioto	Mikrotik	6	27-08-2006 2:46
problemas dns, firewall	perdiga	Adm. em Geral	11	25-11-2005 22:36
Problemas com firewall	Bravo	Proxy/NAT/Firewall	3	20-10-2005 11:06
problemas com firewall	biosterlinux	Proxy/NAT/Firewall	3	11-06-2004 16:39
Problemas DNS + Firewall		Proxy/NAT/Firewall	2	04-11-2003 17:57

23-07-2008, 15:23	#3 (permalink)
Bom, acho que ficou meio confuso minha pergunta Vou falar mais um pouco como estou tentando fazer esse firewall A maquina firewall possui 3 interfaces de rede, eth0 para rede interna, eth1 para o servidor de web e eth2 para internet As politicas estão assim: INPUT DROP, FORWARD ACCEPT, OUTPUT ACCEPT Tentei deixar a politica FORWARD DROP, mas ai não consigo acessar internet pela rede interna nem pelo servidor web. Tenho as seguintes regras no meu firewall iptables -A FORWARD -s $IP_SWEB -d $IP_INT -j ACCEPT iptables -A FORWARD -d $IP_SWEB -s $IP_INT -j ACCEPT iptables -A FORWARD -d $IP_SWEB -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s $IP_SWEB -p tcp --sport 80 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth2 -m multiport -p tcp --dport ! 80,443 -j DROP Regras de roteamento: iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB iptables -t nat -A POSTROUTING -s $IP_SWEB -j SNAT --to $IP_EXT Acho que essas são as regras mais importantes as outras são só de proteção contra ping ping of death e regras para acesso da Rede interna para o Servidor Web Obrigado pela ajuda....	kjeldorano Usuário Registrado em: Jul 2008 Localização: São Paulo Mensagens: 3 Agradeceu: 1 Agradecido 0 vez(es) em 0 Posts Reputação: 0

24-07-2008, 9:36	#5 (permalink)
Valeu pela dica, funcionou sim, o redirecionamento ocorreu! Obrigado	kjeldorano Usuário Registrado em: Jul 2008 Localização: São Paulo Mensagens: 3 Agradeceu: 1 Agradecido 0 vez(es) em 0 Posts Reputação: 0

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail