-
Regras de NAT para acesso a 2º servidor
Minha rede está assim:
Internet --> Servidor Ubuntu ---> Switche ---> Micros + servidor DB
Esse servidor de DB eu gostaria de acessar ele de fora da empresa!
Ele tem instalado o PostgreSQL (Windows Server 2010 64 bits).
Ele possui duas placas de rede.
Uma com IP fixo na internet (187.7.131.xx) e outra com ip da rede interna (10.1.1.49).
Meu problema é colocar no firewall (firestarter) uma regra para que eu possa acessar o server de DB (postgreSQL porta 5432) além de poder usar conexão remota nele.
Gostaria de não utilizar o IP externo para isso (desconectar a placa externa), mas de utilizar NAT para ele para não ficar tão visível na net. Só que não tenho a mínima ideia de como fazer isso.
Poderiam me ajudar a solucionar esse problema?
Desde já agradeço a atenção de todos!
-
Re: Regras de NAT para acesso a 2º servidor
Bem como assim não ficar tão visivel?
Se vc quer acessar pelo teu ip fixo o BDServer vai ter q deixar visivel a internet..
A não ser que vc coloque o "kra" que vai conectar no seu DB na regra no caso de ele ser ip fixo tambem.. Mais basicamente seria:
iptables -t nat -A PREROUTING -d 187.7.131.xx -p tcp --dport 5432 -j DNAT --to <ip-do-servidor-do-banco>
isso ja deve resolver dependendo do seu firewall se as politicas estiverem setadas como ACCEPT..
[]'s
-
Re: Regras de NAT para acesso a 2º servidor
Eu coloquei isso, e não consigo acessar o servidor ainda.
Eu poderia usar essa regra sem a porta para ter acesso à ele (ping, ftp, arquivos)?
O que eu quis dizer com não ficar tão visível é não colocar um IP Fixo nele (eu possuo 8 IPs fixos).
-
Re: Regras de NAT para acesso a 2º servidor
Faz um iptables-save como root e posta aqui..
-
Re: Regras de NAT para acesso a 2º servidor
veja como esta sua configuracao pg_hba.conf no postgres, la deve constar a faixa de ip que o usuario esta utilizando para poder acessa-lo.
-
Re: Regras de NAT para acesso a 2º servidor
Todo e qualquer IP pode acessar meu banco de dados desde que tenha senha, não existe restrição de IP para ele no pg_hba.conf.
O resultado de iptables-save:
Código :
# Generated by iptables-save v1.4.4 on Mon Feb 28 18:06:02 2011
*nat
:PREROUTING ACCEPT [69744:5689006]
:OUTPUT ACCEPT [6008:408450]
:POSTROUTING ACCEPT [202:13915]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 1:6889 -j DNAT --to-destination 10.1.1.49:1-6889
-A PREROUTING -i eth0 -p udp -m udp --dport 1:6889 -j DNAT --to-destination 10.1.1.49:1-6889
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 28 18:06:02 2011
# Generated by iptables-save v1.4.4 on Mon Feb 28 18:06:02 2011
*mangle
:PREROUTING ACCEPT [5984039:4880513965]
:INPUT ACCEPT [361412:474856775]
:FORWARD ACCEPT [5622576:4405635698]
:OUTPUT ACCEPT [247662:12111018]
:POSTROUTING ACCEPT [5870001:4417616648]
-A OUTPUT -p tcp -m tcp --dport 20:21 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 22 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 68 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 20:21 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 22 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 25 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 53 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 67 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 1812 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 1813 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 2401 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 8080 -j TOS --set-tos 0x08/0xff
-A OUTPUT -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0xff
-A OUTPUT -p tcp -m tcp --dport 6000:6015 -j TOS --set-tos 0x08/0xff
COMMIT
# Completed on Mon Feb 28 18:06:02 2011
# Generated by iptables-save v1.4.4 on Mon Feb 28 18:06:02 2011
*filter
:INPUT DROP [1764:257172]
:FORWARD DROP [11:14700]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 201.10.120.2/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 201.10.120.2/32 -p udp -j ACCEPT
-A INPUT -s 201.10.128.3/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 201.10.128.3/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3/1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 13 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 14 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 17 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 18 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -m limit --limit 2/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -m limit --limit 2/sec -j ACCEPT
-A INPUT -p icmp -j LSI
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -d 10.1.1.1/32 -i eth1 -j INBOUND
-A INPUT -d 187.7.131.36/32 -i eth1 -j INBOUND
-A INPUT -d 10.1.1.255/32 -i eth1 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A INPUT -i eth1 -p tcp -m tcp --dport 5432 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 0 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p udp -m udp --dport 33434 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 3/1 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 17 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 18 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 5 -m limit --limit 2/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 4 -m limit --limit 2/sec -j ACCEPT
-A FORWARD -p icmp -j LSI
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 10.1.1.49/32 -i eth0 -p tcp -m tcp --dport 1:6889 -j ACCEPT
-A FORWARD -d 10.1.1.49/32 -i eth0 -p udp -m udp --dport 1:6889 -j ACCEPT
-A FORWARD -i eth1 -j OUTBOUND
-A FORWARD -d 10.1.1.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.1.1.0/24 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 187.7.131.36/32 -d 201.10.120.2/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 187.7.131.36/32 -d 201.10.120.2/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 187.7.131.36/32 -d 201.10.128.3/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 187.7.131.36/32 -d 201.10.128.3/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -o eth1 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -s 10.1.1.0/24 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 22 -j ACCEPT
-A INBOUND -p udp -m udp --dport 22 -j ACCEPT
-A INBOUND -s 10.1.1.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A INBOUND -s 10.1.1.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Mon Feb 28 18:06:02 2011
Pelo jeito você conhece PG. No meu micro eu tenho uma base de dados de teste. Só que para acessá-la eu tenho que desligar o Firewall do windows. Mesmo que eu libere a porta 5432 ele não acessa. Saberia me dizer o que mais eu tenho que liberar?
Obrigado pela sua paciência!
-
Re: Regras de NAT para acesso a 2º servidor
add essa regra no seu firewall de onde ta saindo a conexao
iptables -A FORWARD -o Placa-de-rede-internet -p TCP --dport 5432 -j ACCEPT
Como seu server esta em outra maquina vc devera fazer um redirecionamento até ela.
colocar a configuracao no servidor de firewall onde esta o banco.
### libera acesso ao Postgres PORTA 5432
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 5432 -j DNAT --to ipdoservidordebanco
iptables -t nat -A POSTROUTING -d ipdoservidordebanco -j SNAT --to ipdofirewall
Qual ao firewall do windows tem que colocar nas excecoes, add programa.
-
Re: Regras de NAT para acesso a 2º servidor
Inseri o comando e continuo sem conseguir acessar o PG via IP externo.
:(
-
Re: Regras de NAT para acesso a 2º servidor
O PG está num servidor Windows Server 2008.
Os comandos
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 5432 -j DNAT --to ipdoservidordebanco
iptables -t nat -A POSTROUTING -d ipdoservidordebanco -j SNAT --to ipdofirewall
dever ser no meu server de internet (linux)?
-
Re: Regras de NAT para acesso a 2º servidor
o comando
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 5432 -j DNAT --to ipdoservidordebanco
dá erro de argumento no --dport 5432
-
Re: Regras de NAT para acesso a 2º servidor
esse comando deve ser executado no seu servidor linux que esta na rede onde se encontrar o servidor windows
ele vai pegar os pacotes direcionados a porta 5432 e redirecionar ao seu servidor de BD.
quanto ao $NET é a placa de rede no meu caso a (eth0) onde esta ligado o cabo do modem adsl..
Troca a onde esta $NET pela sua placa de rede (eth0, eth1, eth2, etc...)
-
Re: Regras de NAT para acesso a 2º servidor
Obrigado pla resposta e pela paciência.
Fiz e refiz as linhas que vc especificou.
Agora estou tentando conectar com o banco através do meu IP externo (187.7.131.36) para ser redirecionado para meu IP interno (10.1.1.49). Mas a conexão é recusada!
Tem amis alguma idéia do que posso fazer?
-
Re: Regras de NAT para acesso a 2º servidor
Como que ta configurado teu modem??
Caso ele tenha suporte a DMZ deve ativa-lo e apontar para o ip interno no seu firewall
ex: IP externo (187.7.131.36) IP interno do firewall 10.1.1.253, que o firewal vai tratar sua requisicao
faz o seguinte "apaga" as suas configurações e coloca essa aqui.. .so para testar o acesso remoto, caso de certo, adapta ela no seu firewall
## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - By SOWBRA"
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F
## COMPARTILHAR CONEXAO DE INTERNET
iptables -t nat -A POSTROUTING -o PLACADEREDEEXTERNA -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
### libera acesso ao Postgres PORTA 5432
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i PLACADEREDEEXTERNA --dport 5432 -j DNAT --to ipdoservidordebanco
iptables -t nat -A POSTROUTING -d ipdoservidordebanco -j SNAT --to ipdofirewall
;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
;;
*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
esac
Qualquer duvida posta ai!!!!
-
Re: Regras de NAT para acesso a 2º servidor
Está ocorrendoo seguinte erro:
Código :
root@serverlinux:/tmp# ./firewall start
'/firewall: linha 2: erro de sintaxe próximo do `token' não esperado `in
'/firewall: linha 2: `case $1 in
-
Re: Regras de NAT para acesso a 2º servidor
Quanto ao modem não sei te dizer, é um modem da OI e não tenho acesso à ele!
-
Re: Regras de NAT para acesso a 2º servidor
Cola ai o que vc colocou no ./firewall
Quanto ao modem, ai que deve ta o pulo do gato sem acesso fica dificil saber... ele pode ta rejeitando sua conexao, qual o modelo dele? vc nao tem acesso pq?
-
Re: Regras de NAT para acesso a 2º servidor
Copiei e colei o que vc colocou, só alterei os itens em negrito:
Código :
## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - By SOWBRA"
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F
## COMPARTILHAR CONEXAO DE INTERNET
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
### libera acesso ao Postgres PORTA 5432
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 5432 -j DNAT --to 10.1.1.49
iptables -t nat -A POSTROUTING -d 10.1.1.49 -j SNAT --to 187.7.131.36
*
;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
;;
*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
esac
O modem não tenho acesso porque não sei a senha dele. Na verdade nem tentei ter acesso à ele!
Ele é um Digitel Netrouter 2G 3211.
-
Re: Regras de NAT para acesso a 2º servidor
da uma olhada se eh esse seu modem
ftp://ftp.digitel.com.br/NRX/205.1660.51-Z.pdf
vc vai ter que acessar ele e configurar uma rota de ip externo para o ip interno (firewall) sem isso nao tem como fazer o acesso externo.
Por padrao ele pode ta bloqueando as portas, tem q olhar diretinho o modem mesmo, senao vai ficar quebrando a cabeca no linux e o problema esta no modem.
Caso queira um modem de facil configuracao sugiro adquirir o thonson tg 508.
qual a distribuicao que vc usa do linux??
para editar o arquivo . firewall vc usou, ex:
vim /etc/init.d/firewall ?
depois deu as permissoes necessaria para que o arquivo torne-se executavel?
chmod +x /etc/init.d/firewall
????
-
Re: Regras de NAT para acesso a 2º servidor
Na verdade andei pesquisando e ligando pra OI. Eles NÃO me dão acesso ao modem!
-
Re: Regras de NAT para acesso a 2º servidor
Sim, dei a permissão para rodar ele!
Não gosto do vim! Me perco demais nas teclas de atalho dele!
Utilizo o JOE que tem as teclas de atalho do antigo wordstar que eu ainda lembro! hehehehehe
Sowbra, eu consigo acessar o windows remotamente, então não acho que o modem está bloqueando algo!
Mas consegui acesso à ele! Pessoal da OI não libera, mas deixa a senha e ID padrão nele!
Em NAT o modem tem:
STATUS PURGE
Em FIREWALL o modem tem:
Applying to:INPUT
POLICY ACCEPT
CLAMPTOMTU FALSE
Applying to:OUTPUT
POLICY ACCEPT
CLAMPTOMTU FALSE
Applying to:FORWARD
POLICY ACCEPT
CLAMPTOMTU FALSE
Applying to:QOS
STATUS PURGE
-
Re: Regras de NAT para acesso a 2º servidor
Eu uso o Ubuntu Desktop 10.10
-
Re: Regras de NAT para acesso a 2º servidor
Tem algo errado entao... posta a configuracao que foi feita pra vc fazer o acesso remoto via windows...
e posta tb seu pg_hba.conf.
-
Re: Regras de NAT para acesso a 2º servidor
pg_hba.conf
Código :
# IPv4 local connections:
host all all 127.0.0.1/32 md5
host all all 127.0.0.1 255.255.255.255 md5
host all all ::1/128 md5
host all all 1.1.1.1 0.0.0.0 md5
host all all 10.1.1.1 255.255.255.0 md5
host all all 187.7.131.36 255.0.0.0 md5
Com relação à configuração pra acessar o Windows remotamente, não fiz nada!
Só inseri as linhas que vc me passou.
Note que eu não entendo absolutamente nada de iptables. Se quiser te passo a saida de iptables -v -n -L
-
Re: Regras de NAT para acesso a 2º servidor
como na fez nada?? so colocou as configuracoes q eu passei..
Vc acessa via TS ??
Quanto ao pg_hba.conf esta errado.
O ip que vc esta utilizando é o de destino e nao de origem.
tenta colocar algo
host all all 0/0 md5
so para fazer um teste.
Depois que vc alterou as regras do pg_hba.conf vc ja reiniciou o server??
Outra coisa seu arquivo postgresql.conf esta como esses parametros?? posta ai.
listen_addresses = '192.168.0.1' # Para todas interfaces Utilize '*'
port = 5432
-
Re: Regras de NAT para acesso a 2º servidor
postgres.conf:
listen_addresses = '*'
port = 5432
Eu mexi nisso quando instalei o PG há mais de 2 meses, e já reiniciei o servidor Windows umas 5 vezes depois disso!
Quanto ao IPTables, foi assim. Quando instalei o Ubuntu, ninguém conseguia navegar por ele!
Fuçei um monte e nada, ai me falaram do firestarter, instalei ele, incluí alguns parâmentros (como proibi bittorrent, permiti ssh) nele e bastou isso para todos navegarem na internet!
Ou seja, todas as regras do iptables foram feitas automaticamente por esse GUI do iptables. Mas mesmo assim eu não consigo usar o putty para acessar o server linux.
-
Re: Regras de NAT para acesso a 2º servidor
se nao me engano ubuntu vem com um firewall habilitado por padrao o UFW pode ser desabilitado por: sudo ufw disable. Para ver o status do firewall, digite: sudo ufw status
mas axo q isso no bloquei as portas. mas qto esse firestarter, nao tem como desabilitia-lo? para vc fazer um teste, e colocar aquela regra te te passei , ali ja serve para compartilhar a internet.
Quanto ao seu server de BD pq vc usa duas placas de rede ??? pq nao utiliza so a interna, pq o correta e que seu acesso externo passei pelo firewal e depois atraves de regras de redirecionamento que encaminhe com ele.
To vendo que ta tendo conflito de parametros e regras.. o certo era comecar do zero... pouparia muito tempo... reinstalar o ubuntu e redefinir as regras so pelo iptables que é simples e pratico.... e depois so redirecionar ao server de BD.
-
Re: Regras de NAT para acesso a 2º servidor
ufw status:
INATIVO
se eu parar as regras do firestarter cai a net de toda a empresa!
e aquele script está dando o seguinte erro:
root@serverlinux:/tmp# chmod +x ./firewall
root@serverlinux:/tmp# ./firewall
'/firewall: linha 2: erro de sintaxe próximo do `token' não esperado `in
'/firewall: linha 2: `case $1 in
-
Re: Regras de NAT para acesso a 2º servidor
inclui a linha no pg_hba.conf e reiniciei o PG.
host all all 0/0 md5
E nada de acessar!
-
Re: Regras de NAT para acesso a 2º servidor
Sowbra, tenho que ir agora, amanhã continuo minha sina de fazer isso funcionar!
Se puder dar uma olhada no porque tá dando o erro no script que vc me passou eu tento rodar ele amanhã quando chegar para ver se resolve o problema só com as suas regras!
Muito obrigado pela ajuda e paciência!
-
Re: Regras de NAT para acesso a 2º servidor
o seguinte, testei a o script aqui num ubuntu server 10 utilizando o comando vim.. e rodou perfeitamente....
## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall - By SOWBRA"
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F
## COMPARTILHAR CONEXAO DE INTERNET
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
### libera acesso ao Postgres PORTA 5432
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 5432 -j DNAT --to 172.18.20.30
iptables -t nat -A POSTROUTING -d 172.18.20.30 -j SNAT --to 172.18.20.80
;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
;;
*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;
esac
root@openvpn:/etc/init.d# vim /etc/init.d/firewall
root@openvpn:/etc/init.d# ./firewall restart
Firewall - By SOWBRA
root@openvpn:/etc/init.d#
vc deve ter feito algo errado.
como nao da para parar o firestarter, sugiro pegar uma maquina a parte para fazer esses teste e qdo tiver ok vc replica para essa que esta em producao.
Caso contrario vc vai ficar andando em circulos e nao vai progredir.... eu digo por experiencia propria... caso nao tenha uma maquina disponivel monte uma virtual atraves do vmware, virtual box... hyper v... etc....
-
Re: Regras de NAT para acesso a 2º servidor
Atualizando!
Cedinho parei o firestarter e rodei teu script!
Todo mundo navegando sem problemas :D
Mas... nada do meu banco de dados!
resultado de: iptables -v -n -L
Código :
root@serverlinux:/etc/init.d# iptables -v -n -L
Chain INPUT (policy ACCEPT 6614 packets, 821K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 180K packets, 110M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 5899 packets, 667K bytes)
pkts bytes target prot opt in out source destination
-
Re: Regras de NAT para acesso a 2º servidor
Citação:
Quanto ao seu server de BD pq vc usa duas placas de rede ??? pq nao utiliza so a interna, pq o correta e que seu acesso externo passei pelo firewal e depois atraves de regras de redirecionamento que encaminhe com ele.
Só para responder. O server possui duas placas de rede, mas a placa de rede externa (187.7.131.35) não está conectada! Portanto, estou utilizando somente a placa de rede interna (10.1.1.49).
-
Re: Regras de NAT para acesso a 2º servidor
1) Vc ja consegue acessar por ssh o servidor de firewall ?
2) Quanto ao acesso remoto que vc citou la encima que ja faz no windows server, vc consegue fazer como esse acesso como?? via TS? esse acesso eh feito de fora (internet) de sua rede?
Para melhor compreensao, procure responder de acordo com o numero das perguntas e sempre num post unico.
-
Re: Regras de NAT para acesso a 2º servidor
1) Não consigo acessar o linux pelo putty, nem placa externa (187.7.131.36) nem placa interna (10.1.1.1).
2) Não é possível mais acessar remotamente o windows pelo IP externo (187.7.131.36), somente pelo IP inteno (10.1.1.49).
Estou tentando acessar o PG pelo IP externo e não é possível. Somente pelo IP interno.
-
Re: Regras de NAT para acesso a 2º servidor
1) Uma pergunta basica vc sabe se esta instalado o ssh em sua maquina?
2) 99,99% de certeza que o problema esta em relacionado ao seu modem, pois qdo eh feita uma requisicao fora de sua rede é recebida pelo modem, se no modem nao tem nada indicando para onde ele deve mandar as requisicoes automaticamente vai ser recusado. Como te disse nos posts anteriores, fica impossivel efetuar testes se o modem nao tiver configurado corretamente, o fato dele nao estar bloqueando nenhuma entrada/saida nao quer dizer q ele vai funcionar para o acesso remoto. sugiro dar uma estudada no manual dele, e ver algo sobre "DMZ", redirecionamento de portas... Pq com aquela simples regra no firewall ja funcionaria 100%...
-
Re: Regras de NAT para acesso a 2º servidor
1) SSH está instalado! Olha isso:
Código :
root@serverlinux:/etc/init.d# ssh
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-e escape_char] [-F configfile]
[-I pkcs11] [-i identity_file]
[-L [bind_address:]port:host:hostport]
[-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
[-R [bind_address:]port:host:hostport] [-S ctl_path]
[-W host:port] [-w local_tun[:remote_tun]]
[user@]hostname [command]
2) vou olhar o manual do modem pra ver o que dá pra fazer, mas a OI me falou pra não meter a mão nele! hehehehee
-
Re: Regras de NAT para acesso a 2º servidor
para desencargo use o seguinte comando:
apt-get install ssh
-
Re: Regras de NAT para acesso a 2º servidor
Citação:
Postado originalmente por
rvercesi
Minha rede está assim:
Internet --> Servidor Ubuntu ---> Switche ---> Micros + servidor DB
Esse servidor de DB eu gostaria de acessar ele de fora da empresa!
Ele tem instalado o PostgreSQL (Windows Server 2010 64 bits).
Ele possui duas placas de rede.
Uma com IP fixo na internet (187.7.131.xx) e outra com ip da rede interna (10.1.1.49).
Meu problema é colocar no firewall (firestarter) uma regra para que eu possa acessar o server de DB (postgreSQL porta 5432) além de poder usar conexão remota nele.
Gostaria de não utilizar o IP externo para isso (desconectar a placa externa), mas de utilizar NAT para ele para não ficar tão visível na net. Só que não tenho a mínima ideia de como fazer isso.
Poderiam me ajudar a solucionar esse problema?
Desde já agradeço a atenção de todos!
Amigo,
1) O servidor Ubuntu roda quais serviços??? Iptables? Squid??? Ele é o firewall da empresa??? Explique melhor.
2) Qual porta você configurou para o serviço PostgreeSQL??? Manteve a DEFAULT (5432) ou configurou outra? Por favor, revise as configurações desse serviço, não custa nada.
3) Verifique o firewall do Windows e veja se a porta 5432 está realmente liberada.
Abraços!!!
-
Re: Regras de NAT para acesso a 2º servidor
BVOm dia, obrigado pelo interesse!
1) IPTables (firestarter), squid (rodando mas sem configuração nenhuma ainda). Este micro é para ser o firewall da empresa sim! Ele é quem disponibiliza a internet para todos. Após ele tenho um switch com diversos micro, um roteador wi-fi e um servidor Windows Server 2008 com o PG.
2) O PG está na porta padrão, me conecto nele através da rede interna sem problemas, desde que o firewall do Windows server esteja desligado. O sistema atualmente fuinciona somente dentro da empresa, pois não consigo ajustar o nat para acessar de fora. Ou seja, via IP interno tudo está Ok.
3) O firewall do windows não está habilitado. Já liberei a porta 5432 no firewall e mesmo assim se habilito ele não consigo acessar. A mesma coisa acontrece nomeu micro que tem o PG para teste. Se libero aporta 5432 e deixo ele habilitado não consigo acessar, somente se desabilito TODO o firewall.
-
Re: Regras de NAT para acesso a 2º servidor
Me responda por favor:
1) Nesse servidor Windows, as duas interfaces de rede mencionadas não são wireless. Correto?
2) Você reviu a configuração do PostgreeSQL de forma completa, digo toda? Pois, existem configurações que limitam quais IPs pode acessar o PG e configuração para escutar apartir de um IP. Não custa nada revisar denovo, apartir dessas informações.
3) Em uma estação de trabalho qualquer de sua rede você consegue acessar o PostgreeSQL apartir das duas interfaces de rede, faça este teste por favor.
-
Re: Regras de NAT para acesso a 2º servidor
1) é um servidor Dell comprado especificamente para ser nosso servidor de banco de dados. Nenhuma placa é wireless.
2) pg_hba.conf:
host all all 0/0 md5
postgresql.conf:
listen_addresses = '*'
port = 5432
3) Só consigo acessar o PG pela interface interna de rede (10.1.1.49). Pela externa não responde (187.7.131.35). É exatamente esse meu problema. Necessitome conectar ao banco externamente.
-
Re: Regras de NAT para acesso a 2º servidor
Talvez eu não tenha entendido direito, configure uma máquina na sua rede (uma estação de trabalho) com ip 187.7.131.x e tenta pingar para o IP 187.7.131.35. Por favor, faça esse teste.
No PostgreeSQL já está atuando, digo, já tem banco de dados, tabelas e dados já sendo acessados e etc???
-
Re: Regras de NAT para acesso a 2º servidor
minha rede está assim:
server linux (187.7.131.36 - funcionando como server de NET/firewall) ---> switch ---> estações + roteador wifi + server windows (2 placas 187.7.131.35 e 10.1.1.49)
O server linux não pinga o IP externo do server windows!
O PG está funcionando com o sistema que estou desenvolvendo e tem várias partes funcionais! Tem tabelas com mais de 1 milhão de registros já! Só que somente internamente!
Minha primeira idéia era desligar aplaca externa do server windows e deixar somente a interna e o Linux fazer NAT para ele. Mas não estou conseguindo fazer isso!
-
Re: Regras de NAT para acesso a 2º servidor
1) O servidor Linux só tem 1 interface de rede mesmo? Ele recebe o link de internet em que interface? Explique melhor, se possível.
2) Você tentou configurar uma máquina cliente da rede com um IP qualquer (187.7.131.X) para poder pingar para o host 187.7.131.35? Faça este teste por favor, pois desejo saber, se configurando um máquina da rede interna com um IP 187.7.131.X, apartir dela se consegue pingar para o IP 187.1.131.35.
3) Apartir do servidor Linux aplique um traceroute para o IP 187.7.131.35 e cole aqui no fórum se possível.
4) Apartir do servidor Linux rode o seguinte comando para realizar uma varredura no servidor Windows:
# nmap -sV -P0 187.7.131.35
E cole o resultado aqui.
-
Re: Regras de NAT para acesso a 2º servidor
1) O servidor linux tem DUAS interfaces de rede:
eth0 recebe o link da internet (187.7.131.36)
eth1 é o cabo qeu vai para o switch (10.1.1.1)
2) configurei uma máquina para 187.7.131.37 e tentei pingar o servidor windows! Ele pinga normalmente. Na realidade o servidor Windows é 157.7.131.34 ed não 35 como disse anteirormente.
3)
Código :
[B]root@serverlinux:/etc# traceroute 187.7.131.34
traceroute to 187.7.131.34 (187.7.131.34), 30 hops max, 60 byte packets
1 serverlinux (187.7.131.36) 3002.218 ms !H 3002.200 ms !H 3002.179 ms !H
root@serverlinux:/etc# ping 187.7.131.34
PING 187.7.131.34 (187.7.131.34) 56(84) bytes of data.
From 187.7.131.36 icmp_seq=1 Destination Host Unreachable
From 187.7.131.36 icmp_seq=2 Destination Host Unreachable
From 187.7.131.36 icmp_seq=3 Destination Host Unreachable
cFrom 187.7.131.36 icmp_seq=4 Destination Host Unreachable
From 187.7.131.36 icmp_seq=5 Destination Host Unreachable
From 187.7.131.36 icmp_seq=6 Destination Host Unreachable
^C
--- 187.7.131.34 ping statistics ---
8 packets transmitted, 0 received, +6 errors, 100% packet loss, time 7040ms
pipe 3
root@serverlinux:/etc# [/B]
4)
Código :
root@serverlinux:/etc# nmap -sV -P0 187.7.131.34
Starting Nmap 5.21 ( http://nmap.org ) at 2011-03-11 16:03 BRT
Nmap done: 1 IP address (0 hosts up) scanned in 0.29 seconds
root@serverlinux:/etc#
-
Re: Regras de NAT para acesso a 2º servidor
1) Cola denovo as regras de iptables, tu tem o script também? Cola aqui novamente. Isso parece ser no iptables e desejo analisar todas as regras.
2) Esse é o outro IP do servidor Windows, o 10.1.1.49, certo? Apartir do servidor roda esses comandos:
Verifique se pinga.
# ping 10.1.1.49
# nmap -sV -P0 10.1.1.49
E cola eles aqui. Desejo ver como a interface interna responde.
-
Re: Regras de NAT para acesso a 2º servidor
1) as regras do IPTables são as do firestarter. Não tenho um script para elas.
Se quiser posso te passar o resultado do iptables, mas script não possuo.
2)
Código :
root@serverlinux:/etc# ping 10.1.1.49
PING 10.1.1.49 (10.1.1.49) 56(84) bytes of data.
64 bytes from 10.1.1.49: icmp_req=1 ttl=128 time=0.378 ms
64 bytes from 10.1.1.49: icmp_req=2 ttl=128 time=0.238 ms
64 bytes from 10.1.1.49: icmp_req=3 ttl=128 time=0.213 ms
^C
--- 10.1.1.49 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.213/0.276/0.378/0.073 ms
root@serverlinux:/etc# nmap -sV -P0 10.1.1.49
Starting Nmap 5.21 ( http://nmap.org ) at 2011-03-11 16:58 BRT
Nmap scan report for 10.1.1.49
Host is up (0.014s latency).
Not shown: 979 closed ports
PORT STATE SERVICE VERSION
111/tcp open rpcbind 2-4 (rpc #100000)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
445/tcp open netbios-ssn
1039/tcp open status 1 (rpc #100024)
1047/tcp open nlockmgr 1-4 (rpc #100021)
1048/tcp open mountd 1-3 (rpc #100005)
1801/tcp open unknown
2049/tcp open nfs 2-3 (rpc #100003)
2103/tcp open msrpc Microsoft Windows RPC
2105/tcp open msrpc Microsoft Windows RPC
2107/tcp open msrpc Microsoft Windows RPC
3389/tcp open ms-term-serv?
5432/tcp open postgresql?
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC
49157/tcp open msrpc Microsoft Windows RPC
49176/tcp open msrpc Microsoft Windows RPC
MAC Address: B8:AC:6F:94:B4:33 (Unknown)
Service Info: OS: Windows
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 92.92 seconds
root@serverlinux:/etc#
-
Re: Regras de NAT para acesso a 2º servidor
Código :
root@serverlinux:/etc# iptables -v -n -L
Chain INPUT (policy DROP 4 packets, 572 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 201.10.120.2 0.0.0.0/0 tcp flags:!0x17/0x02
0 0 ACCEPT udp -- * * 201.10.120.2 0.0.0.0/0
0 0 ACCEPT tcp -- * * 201.10.128.3 0.0.0.0/0 tcp flags:!0x17/0x02
6 748 ACCEPT udp -- * * 201.10.128.3 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:33434
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 1
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 13
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 limit: avg 2/sec burst 5
0 0 LSI icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 LSI all -f * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5
8 1579 INBOUND all -- eth0 * 0.0.0.0/0 0.0.0.0/0
4 247 INBOUND all -- eth1 * 0.0.0.0/0 10.1.1.1
0 0 INBOUND all -- eth1 * 0.0.0.0/0 187.7.131.36
2 286 INBOUND all -- eth1 * 0.0.0.0/0 10.1.1.255
4 572 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
4 572 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Input'
Chain FORWARD (policy DROP 19 packets, 19665 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:33434
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 1
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 17
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 limit: avg 2/sec burst 5
0 0 LSI icmp -- * * 0.0.0.0/0 0.0.0.0/0
138 6420 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 10.1.1.49 tcp dpts:1:6889
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 10.1.1.49 udp dpts:1:6889
8260 481K OUTBOUND all -- eth1 * 0.0.0.0/0 0.0.0.0/0
12535 16M ACCEPT tcp -- * * 0.0.0.0/0 10.1.1.0/24 state RELATED,ESTABLISHED
58 8516 ACCEPT udp -- * * 0.0.0.0/0 10.1.1.0/24 state RELATED,ESTABLISHED
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Forward'
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 187.7.131.36 201.10.120.2 tcp dpt:53
0 0 ACCEPT udp -- * * 187.7.131.36 201.10.120.2 udp dpt:53
0 0 ACCEPT tcp -- * * 187.7.131.36 201.10.128.3 tcp dpt:53
6 460 ACCEPT udp -- * * 187.7.131.36 201.10.128.3 udp dpt:53
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 224.0.0.0/8 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.0/8
0 0 DROP all -- * * 255.255.255.255 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
10 2374 OUTBOUND all -- * eth0 0.0.0.0/0 0.0.0.0/0
4 1447 OUTBOUND all -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Unknown Output'
Chain INBOUND (4 references)
pkts bytes target prot opt in out source destination
8 1579 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 533 ACCEPT all -- * * 10.1.1.0/24 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
0 0 ACCEPT tcp -- * * 10.1.1.0/24 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * * 10.1.1.0/24 0.0.0.0/0 udp dpt:53
0 0 LSI all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LOG_FILTER (5 references)
pkts bytes target prot opt in out source destination
Chain LSI (4 references)
pkts bytes target prot opt in out source destination
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Inbound '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LSO (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG_FILTER all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 LOG flags 0 level 6 prefix `Outbound '
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
-
Re: Regras de NAT para acesso a 2º servidor
continuação (não coube em um só post)
Código :
Chain OUTBOUND (3 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
8123 470K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
79 11613 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
72 3448 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
root@serverlinux:/etc#
-
Re: Regras de NAT para acesso a 2º servidor
Faltou a tabela NAT!
# iptables -t nat -L -n
