-
Redirecionamento de ip e porta iptables.
Fala Linuxers =]
Blzinha?
Antes de mais nada , queria falar que o site ficou show de bola, parabens a todos que de alguma maneira contribuiram =]
Gostei =]
Mais como a vida não é facil, vamos lá.
hehehe
Após eu criar meu firewall, andei ""despraticando iptables" ou seja, apenas abria uma portinha ou outra etc...
Porem, um cidadão, mais conhecido como meu chefe, heheh inventou de colocar uma aplicação web rodando dentro de nossa rede, ou seja, tenho meu firewall e um servidor de aplicação dentro da minha rede.
Ok.
Tentei dar uma olhada aqui nos Artigos no redirecionamento de de portas com iptables, só que to tomando uma surra, não to sabendo fazer mesmo hehehe.
Vamos lá vou tentar explicar melhor.
tenho meu firewall configurado assim:
NET(200.200.200.200) eth0 ou ppp0 <-----Firewall------> eth1 192.168.1.1
Rede interna(192.168.1.2) eth0 <---Servidor de aplicação
*(ppp0 aqui em casa onde estou testando.... pois no trampo estou em ambiente de produção e nao da pra ficar reiniciando o script de firewall).
Tenho uma terceira placa de rede no firewall, mas acho que não vem ao caso.
ok, tenho uma aplicação em 192.168.1.2 , porta 8080 para ser mais exato é o Tomcat...
e tenho que disponibilizalo na net em 200.200.200.200 na porta 80 e não na 8080.
Ai lá fui eu com as seguintes regras:
á sim, claro, meu firewall tem como politica
IMPUT DROP
FORWARD DROP
OUTPUT ACCEPT
vamos as regras:
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 8080 -j DNAT --to 192.168.1.2:80
iptables -t nat -A POSTROUTING -s 200.200.200.200 -p tcp --dport 8080 -j ACCEPT
iptables -A -p POSTROUTING -p tcp -s 192.168.1.2 --sport 80 -j SNAT --to 200.200.200.200:8080
iptables -t nat -A POSTROUTING -s 192.168.1.2 -p tcp --dport 80 -j ACCEPT
Vejam se estou certo....
1 regra:ok, fizemos um prerouting para tudo que chegar na porta 80, ser repassado para 192.168.1.2 na porta 80
2 regra: estamos aceitando um postrouting para a porta 8080
3:Tudo que sair de minha porta 80 da minha maquina interna ir para 200.200.200.200:8080
4:Aceitando o postrouting da porta 80 de 192.168.1.2
é isso ai, claro que estou esquecendo de algo... estou fazendo varios testes aqui, porem não estou conseguindo..
Se alguem puder me dar uma ajuda , ficarei eternamente grato.
Valew por Ler meu HELP aqui!
Abraços a todos , e fico no aguardo!
Fui...
-
Redirecionamento de ip e porta iptables.
se vc quer qas pessoas acessem por
http://200.xxxxxxxxx e ele acesse o tomcat q ta rodando na rede interna no 192.168.1.2 8080 sua regra ta ao contrario
iptables -t nat -A PREROUTING -p tcp -d 200.xxxxxxx --dport 80 -j DNAT --to 192.168.1.2:8080
e tb coloca isso:
iptables -A FORWARD -s 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
bom se eu fosse vc deixava o forward como accept soh pra testar o redirecionamento, dps q vc tiver certeza de q ta ok vc fecha ele denovo
-
Desculpe , faltou informações
Ice, você tem toda a razão.
Porem existe um motivo pra isso, aqui em casa onde estou testando , tenho utilizo Speed , e os LAZA*** bloqueiam minha porta 80 , então coloquei nessa regra para utilizar a porta 8080 na web i (DESCULPE REALMENTE NÂO DISSE ISSO NO POST).
....
Sorry...
-
Redirecionamento de ip e porta iptables.
Já até troquei aqui a porta 8080 , para caso fosse bloqueada tambem , coloquei 20000 2000 , porem , sem sucesso.
=/
-
Redirecionamento de ip e porta iptables.
nao sei se eh ai o caso, mas tem um amigo meu q usa adsl e os fdp devem mascarar o ip pq nao da pra conectar em nenhuma porta!!!!!!!!
vc jah deixou o forward como accept soh pra testar o redirecionamento?
tipo cria a regra ai com alguma porta alta soh pra testar, ai abre o iptraf, dps tenta se conectar e ve oq aparece no iptraf... se nao mostrar pelo menos uma conexao S ou RESET eles tb tao bloqueando qq acesso ao speedy
-
Redirecionamento de ip e porta iptables.
Opa, FORWARD's colocados pós minhas regras de PREROUTING e POSTROUTING
iptables -A FORWARD -s 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
ainda não... =]
-
Redirecionamento de ip e porta iptables.
ic3, eu tenho um servidor ssh aqui em casa, acabei de entrar em um servidor remoto, e de lá consegui acessar meu ssh aqui...
ou seja, tá funfando.
-
Redirecionamento de ip e porta iptables.
blz, se vc consegue acessar o ssh a porta 80 tb nao ta bloqueada
soh pra garantir usa somente essas regras:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d 200xxxx 80 -j DNAT --to 192.168.1.2:8080
soh essas duas, nao precisa fazer snat, e deixa o forward accept
PS: e cria o masquerade tb
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE
-
Redirecionamento de ip e porta iptables.
fiz assim
iptables -t nat -A PREROUTING -d 200.148.126.57 -p tcp --dport 9090 -j DNAT --to 192.168.1.2:80
-
Redirecionamento de ip e porta iptables.
e oq deu?
alias no 192.168.1.2 o tomcat num tava rodando na porta 8080?
-
Redirecionamento de ip e porta iptables.
Sim sim, porta 8080 , bati errado aqui 9090....
nada...
certeza que é o speedy.....
tentei acessar outras portas aqui, e parece que o laza*** ta bloqueando httpd://
tenho o no-ip e não to conseguindo acessar tambem!!!!
afff
isso que é FOD* quando estou resolvendo uma coisa , surge outra pra atrapalhar....
isso é so comigo? hehehee
ic3.
pelo menos sei que a regra deve funcionar no trampo, aqui em casa por não ser speedy business os nego cag* com minhas conexões...
afff
Ic3 valew por tudo mesmo Irmão, quebrou mo galho =]
Valew mesmo!
-
Redirecionamento de ip e porta iptables.
eu jah tava comecando a ficar preocupado se eu tava falando merda heheheh
esses nego do speedy sao fo$%#$%, bom aki em casa eu tb uso, mas tenho ip fixo igual business e tb tenho todas as portas liberadas hehehehe
-
Redirecionamento de ip e porta iptables.
eu posso te ajudar, na maquina onde ta o firewall ou na maquina do tomcat, tem algum servidor web(apache) que faz integração com o tomcat?
só me responde isso...
vlw falow
-
Redirecionamento de ip e porta iptables.
Galera eu tenho uma observacao, olha so... no POSTROUTING nao precisa colocar o -d porque so existe 1 IP valido nesse caso, eh tem um detalhe quando vc coloca o -d no Linux e os pacotes chegam ele nao entende isso, ao menos que seja PPPoE esse Speedy, o route(modem) nao tem outros IPs alocados entao eh algo do tipo:
Código :
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 192.168.1.2:8080
iptables -t nat -A POSTROUTING -s 192.168.1.2 -p tcp --sport 8080 -j SNAT --to 200.148.126.57
Testa ai eh me da um alo!
-
Redirecionamento de ip e porta iptables.
Pensando aqui, o SNAT nao e' necessario!!!
-
Redirecionamento de ip e porta iptables.
povo leiam os posts anteriores... jah ta resolvido... eh o speedy q ta bloqueando... nem http no proprio micro q ligado no modem vai....
-
Redirecionamento de ip e porta iptables.
se ele usar o apache fazendo integração com o tomcat, basta a 80(http) dele ta liberado ele pode acessar o servidor, mas pelo que eu li, ta tudo bloquiado, xa pra la
-
Redirecionamento de ip e porta iptables.
Ai pessoal valew pelas respostas =]
Ok, agora estou em meu trampo.
tenho minhas portas todas liberadas aqui devido ao acesso ser businnes.
Vamos lá.
Respondendo a pergunta do Brenno , tenho o tomcat rodando e não o modulo do tomcat rodando no apache.
ele roda em minha porta 8080.
blz.
inicialmente no meu firewall eu abilito o repasse de pacotes.
de pacotes:
echo 1 > /proc/sys/net/ipv4/ip_forward
limpo as regras, caso já tenha alguma pré definida.
iptables -F
iptables -t nat -F
iptables -X -t nat
iptables -Z
tenho a politica de drop , apenas com o output como accept
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
mascaro minha rede
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
sim aqui minha internet é na eth1
Tenho minha regra de FORWARD estabelecida para a minha rede
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24
para minha regra de INPUT, vamos colocar alguma segurança =]
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
para conseguir acessar meu firewall por ssh "momentaneamente dei um input accept para minha rede interna.
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
aqui eu vou liberar a porta 80 no servidor , para a mesma conseguir repassa-la
para o senho TOMCAT na outra maquina interna.
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
agora chego o momento:
estou redirecionando a minha porta com as seguintes regras
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
#sei que eu tinha uma regra já aceitando forward para minha rede interna ali em cima, porem.....
conversando ontem com o 1c3_m4n, que foi um cara super 10, troquei as minhas regras que eu tinha feito, para apenas 1.
que seria:
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 80 -j DNAT --to 192.168.1.100:8080
porem por algum santo motivo.... isso não está funcionado como deveria.
Agradeço a todos por terem a paciência de ajudarem um desmemoriado como eu hehehe
então fico aqui agurdando respostas.
Abraços
-
Redirecionamento de ip e porta iptables.
CURIOSIDADE:
Quando acesso no browser:
http://200.200.200.200
ele fica a carregar............
e depois de uns 3 min morre.
-
Redirecionamento de ip e porta iptables.
perai vc ta somente com essa regra de prerouting?
alem dela como estao as regras forward?
-
Redirecionamento de ip e porta iptables.
ele deve ta conectando mas pelo forward estar drop ele nao deixa trafegar nada.....
alem da prerouting coloca akelas 2 de forward com a opcao -m state que eu tinha passado antes
-
Redirecionamento de ip e porta iptables.
1c3...
tava testando isso aqui agora.
acabei de colocar
iptables -P FORWARD ACCEPT
como padrão
só pra testar....
e nem assim....
respondendo a sua pergunta...
minhas regras de forward estão momentaneamente:
iptables -P FORWARD ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
foi impressão minha ou você se assustou???
que cagada eu to fazendo que eu não to vendo, hehehehee =]
-
Redirecionamento de ip e porta iptables.
hehehe q regra eh essa aki:
iptables -A FORWARD -s 192.168.1.0/24
cortou um pedaco ou ta mesmo faltando -j ACCEPT?
-
Redirecionamento de ip e porta iptables.
cabei de passar um nmap de fora da minha rede, aqui para meu ip,
e eu to com a porta 80 aberta,
e com
telnet 200.200.200.200 80
ele me prega o telnet
Escape character is "^]".
ou seja que tá meio funcional está.
=]
-
Redirecionamento de ip e porta iptables.
o 1c3 hehehe esqueci de colocar aqui o -j ACCEPT.
esqueci de postar aqui , mais no meu firewall tá sim com -j ACCEPT
=]
-
Redirecionamento de ip e porta iptables.
bom o redir entaum ta funfando....
hmmm o forward ainda ta como accept ou vc volto pro drop?
-
Redirecionamento de ip e porta iptables.
1c3 =]
deu certo manowwww!!!!!
hauahuauha
-
Redirecionamento de ip e porta iptables.
Citação:
Tenho minha regra de FORWARD estabelecida para a minha rede
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24
essa regra iptables -A FORWARD -s 192.168.1.0/24
não entendir ela.. ta servindo pra que? só precisa do -m state --state ESTABLISHED,RELATED -j ACCEPT
Citação:
para conseguir acessar meu firewall por ssh "momentaneamente dei um input accept para minha rede interna.
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
vc ta liberando tudo da sua rede interna pra seu firewall
eh bom vc colocar um --dport e a porta que seu ssh ta rodando
Citação:
iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 80 -j DNAT --to 192.168.1.100:8080
seu ip eh fixo?(valido) se não for, tira o -d 200.200.200.200
oq eu te conselhor eh instalar o apache na maquina 192.168.1.100
e faz a integração com o tomcat, isso muito facil, tenho uma documentacao que eu mesmo fiz, só to esperando ter um pouco mais de tempo para publicar aqui na under.
depois que vc fizer isso,
ao digita no bloser de fora http://ipda-eth1/sua-aplicacao,
ele joga essa requisição na porta 80 pro apache que em seguida, ele vai se comunicar com o tomcat na porta 8009, e tudo vai funcionar perfeitamente.
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.100:80
falow
qualquer coisa me manda msg q eu te passo meu msn..
-
Redirecionamento de ip e porta iptables.
putz, demorei pra postar, eheheh o importante eh que funcionou... falow
-
Redirecionamento de ip e porta iptables.
Uia eita....
Realmente está funcionando apenas quando a regra FORWARD padrao fica ACCEPT
iptables -P FORWARD ACCEPT
se mudar pra DROP , ta parando...
mesmo com
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
....
-
Redirecionamento de ip e porta iptables.
MAJOR, faz o que eu te falei, eu já fiz isso e ta tudo certo, já passei por isso varias vezes, todas deu ok...
eu agaranto ;)
-
Redirecionamento de ip e porta iptables.
breno ele nao ta usando apache no servidor interno, eh soh o tomcat mesmo.
mas ta estranho soh tendo -m state como accept jah era pra funcionar...... nao sei como o tomcat trata isso, mas se ele usa a 8080 soh pra se conectar e depois abre a conexao com o cliente em outra porta eh por isso q ta bloqueando qdo vc coloca drop como padrao, o related,established soh permite conexoes jah estabelecidas, entao se eles abrem uma nova conexao vai mesmo ser bloqueada....
bom se for isso mesmo ou vc libera tudo pra essa maquina ou abre o iptraf e fica monitorando ai pra ver oq acontece, quais portas ele ta tentando acessar
-
Redirecionamento de ip e porta iptables.
Citação:
Postado originalmente por 1c3_m4n
breno ele nao ta usando apache no servidor interno, eh soh o tomcat mesmo.
mas ta estranho soh tendo -m state como accept jah era pra funcionar...... nao sei como o tomcat trata isso, mas se ele usa a 8080 soh pra se conectar e depois abre a conexao com o cliente em outra porta eh por isso q ta bloqueando qdo vc coloca drop como padrao, o related,established soh permite conexoes jah estabelecidas, entao se eles abrem uma nova conexao vai mesmo ser bloqueada....
bom se for isso mesmo ou vc libera tudo pra essa maquina ou abre o iptraf e fica monitorando ai pra ver oq acontece, quais portas ele ta tentando acessar
bom, to sabendo que ele usa somente tomcat, eu to dando uma solução pra ele, mas exite outras, rola o tcpdump e ve as portas que ele ta usando, falow
-
Redirecionamento de ip e porta iptables.
Então só pra terminar o post, para caso alguem queira consultar.
realmente tive que trocar minha regra de
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT
Valew 1c3 pela força =]
valew Brenno =] posteriormente até penso sim em colocar ele pra trabalhar como modulo do Apache, porem hoje isso me iria gerar um tempo que não desponibilizava =]
Valew
-
Redirecionamento de ip e porta iptables.
Citação:
Postado originalmente por MAJOR
realmente tive que trocar minha regra de
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT
se isso resolveu eh akilo q eu tinha falado mesmo, ele usa a porta 8080 pra iniciar a conexao mas depois deve abrir outra porta e gera uma nova conexao.... bom depois qdo vc tiver saco e tempo, abre o iptraf ou qq outro programa pra monitorar a rede, e ve quais portas que ele usa
-
Redirecionamento de ip e porta iptables.
Citação:
Postado originalmente por 1c3_m4n
Citação:
Postado originalmente por MAJOR
realmente tive que trocar minha regra de
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT
se isso resolveu eh akilo q eu tinha falado mesmo, ele usa a porta 8080 pra iniciar a conexao mas depois deve abrir outra porta e gera uma nova conexao.... bom depois qdo vc tiver saco e tempo, abre o iptraf ou qq outro programa pra monitorar a rede, e ve quais portas que ele usa
para vc não precisar abri um monte de porta no seu firewall, usar o tomcat integrado junto com apache, essa integração eu faço em 10 minutos, depois que vc fez a integração, vc so trabalhar com a porta 80, e esquece o resto :D, to precisando de tempo pra arruma o howto tomcat com apache que já ta pronto, mas falta organizar e corrigi os erros em portugues, mas se precisar, entra em contato q te passo... falow