Versão Imprimível
Boa tardeeee pessoal, gostaria da ajuda de vcs para uma regra que não estou conseguindo fazer.
Preciso dar acceso ao uma porta interna, mas somente para um ip externo.
Tentei a regra abaixo mais sem sucesso.
Espero que possam me ajudar...
$IPT -t nat -A PREROUTING -p tcp -i $INET -s 187.x.x.x --dport 10050 -j DNAT --to-destination 192.168.1.2:10050
$IPT -I FORWARD -i $INET -s 187.x.x.x -p tcp -j ACCEPT
$INET = INTERFACE EXTERNA
Obrigadooo...
Boa tarde,Citação:
Postado originalmente por vitormarques
usa este, ve se te ajuda
iptables -A PREROUTING -t nat -p tcp -d $EXTERNAL_IP \
--dport 220 -j DNAT --to 192.168.10.250:22
iptables -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE \
-s 192.168.10.250 -j MASQUERADE
iptables -A FORWARD -i $INTERNAL_INTERFACE -o $EXTERNAL_INTERFACE \
-s 192.168.10.250 -j ACCEPT
iptables -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE \
-d 192.168.10.250 -j ACCEPT
abraco
Citação:
Postado originalmente por vitormarques
Vitor o erro está na especificação do destino, você utilizou -s 187.x.x.x ou seja esse "-s" especificou o ip source, ou seja quando vier requisições partindo desse ip, então deve mudar para -d, que seria destination, assim quando qualquer um fizer uma requisição com destino ao ip 187.x.x.x irá redirecionar para ip especificado em --to-destination.
Então ficaria
$IPT -t nat -A PREROUTING -p tcp -i $INET -d 187.x.x.x --dport 10050 -j DNAT --to-destination 192.168.1.2:10050
Agradeço as respostas... mas nenhuma deu certo... será q tem outra solução ?
Boa noite, post seu firewall para nos analizar.Citação:
Postado originalmente por vitormarques
Pessoal ao tentar conectar por telnet, estou recebendo a mensagem abaixo:
Trying 186.x.x.x...
Connected to 186.x.x.x.
Escape character is '^]'.
Connection closed by foreign host.
Citação:
Postado originalmente por vitormarques
Então deu certo, pois quanto está errado, não tem essa resposta Escape, ele vai ficar parado no telnet sem resposta.
Mas a empresa que precisa da liberação da porta insiste em dizer que ela não está funcionando.
Vou falar com eles.
Muito obrigado pela ajuda !!!
Bom dia,
Digamos que você possua um servidor interno com IP 172.16.0.1, rodando um Web Server na porta 80. Você gostaria de publicar essa porta apenas para requisições que viessem do IP 200.200.200.200. Tente essas regras:
eth0=200.200.200.100
eth1=172.16.0.1
Código :
Obs.: Não usei variáveis para interfaces e IPs para facilitar o entendimento. Não abordei aqui regras de saída, pois acredito que o servidor já consiga navegar na internet normalmente.
Boa sorte com os testes, Abraço
Boa noite Vitormarques, se entendi bem vc quer acessar de fora da sua rede um serviço rodando em um micro/servidor na rede local na porta x e ip xxx.xxx.xxx.xxx, sendo isto, é o mesmo que uso por aqui, acesso um servidor interno em determinada porta, para que funcione uso a seguinte regra no iptables:Citação:
Postado originalmente por vitormarques
==========================================================================
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport xx -j DNAT --to ip_do_micro_serviço
iptables -t nat -A POSTROUTING -d ip_do_micro_do_Serviço -j SNAT --to ip_do_gateway_da_rede
==========================================================================
Sendo: eth0 - minha interface de rede externa.
xx - porta que vc quer redirecionar
ip_do_micro_Serviço - ip do computador na rede interna que vc quer acessar
ip_do_gateway_da_rede - endereco IP da interface de rede interna
São estas duas linhas no iptables para cada redirecionamento de porta, ja no caso como vc quer acessar de apenas um IP especifico, não sei te dizer como fazer, já que não uso tal funcionalidade.
Caso seu acesso a internet seja feita no modem e repassada para a rede interna, deve realizar o redirecionamento da porta no modem para o ip da interface eth0.
Espero que seja isso o que procuras.
Ok.. vou tentar todas as sugestões.. e posto os resultados...
Obrigado !!!
Pessoal... nao to conseguindo testar.. pq estou com outro problema... tenho dois links de internet... e só duas placas de rede, para rede interna e internet.
Quando coloco o link A tudo funciona normal... quando coloco o link B ... não navega...
Alguem poderia me ajudar nessa... até formatei o servidor e nada.
Podes instalar uma terceira placa de rede, ou criar uma placa virtual, com o comando:
==========================================
#ifconfig eth0:1 ip_da_placa netmask xxx.xxx.xxx.xxx up
==========================================
para manter essa placa quando reiniciar o servidor, podes colocar este comando no "bootmisc.sh"
Essa dica, não tenho 100% de certeza que irá funcionar, utilizei ela apenas como teste pra ver se funcionava a vários anos, quando estava começando a explorar ol inux, pode que falte algum comando, acredito que não, a indicação acima, qualquer coisa podes pesquisar no google por "criar interfaces de rede virtuais no linux".
é que um dos links vai ser cancelado, e é justamente o link q não funciona.
Se vai ser cancelado então não ha problema, certo?
So desconsiderar o link, nem precisa liga-lo ao servidor.
Não... o link q vai ser cancelado funciona normal.. navega com squid e iptables td mais...
Quando coloco o outro link, que é o link q vai ficar .. ai não navega....
Vc apenas desconecta um cabo do servidor e conecta o outro, assim normalmente não funciona, precisa executar, após trocar o cabo do link, um dhcllient na placa de rede, reiniciar o squid (as vezes um reload do squid resolve), ai vai navegar normal, tenho dois links um adsl e um satelite, uso apenas um de cada vez e quando mudo de um pro outro tenho que executar esses procedimentos para funcionar. No teu servidor DHCP (acredito que tenhas) tem que haver o DNS dos dois links, ou um DNS neutro aos dois tipo o "opendns".
Vou tentar isso amanhã e posto os resultados.
Mas no caso e se for um roteador load balance, como ficaria ?
Ainda não usei load balance, então não sei te dizer.
Ja li algo a respeito de load balance com iptables, e um load balance identifica quando esta com o link 1 e 2, se cai um dos links ele direciona tudo para o que ficou e ao retornar o link que caiu ele retorna ao programado dividindo nos links a carga. Tudo isso deve ser pré programado no load, como fazer isso só pesquisando, mas pode ser feito sem problemas, ao menos pelo que li no viva o linux.