Redirecionamento de ip e porta iptables.

Fala Linuxers =]
Blzinha?
Antes de mais nada , queria falar que o site ficou show de bola, parabens a todos que de alguma maneira contribuiram =]
Gostei =]
Mais como a vida não é facil, vamos lá.
hehehe
Após eu criar meu firewall, andei ""despraticando iptables" ou seja, apenas abria uma portinha ou outra etc...
Porem, um cidadão, mais conhecido como meu chefe, heheh inventou de colocar uma aplicação web rodando dentro de nossa rede, ou seja, tenho meu firewall e um servidor de aplicação dentro da minha rede.
Ok.
Tentei dar uma olhada aqui nos Artigos no redirecionamento de de portas com iptables, só que to tomando uma surra, não to sabendo fazer mesmo hehehe.
Vamos lá vou tentar explicar melhor.

tenho meu firewall configurado assim:

NET(200.200.200.200) eth0 ou ppp0 <-----Firewall------> eth1 192.168.1.1
Rede interna(192.168.1.2) eth0 <---Servidor de aplicação

*(ppp0 aqui em casa onde estou testando.... pois no trampo estou em ambiente de produção e nao da pra ficar reiniciando o script de firewall).

Tenho uma terceira placa de rede no firewall, mas acho que não vem ao caso.

ok, tenho uma aplicação em 192.168.1.2 , porta 8080 para ser mais exato é o Tomcat...
e tenho que disponibilizalo na net em 200.200.200.200 na porta 80 e não na 8080.
Ai lá fui eu com as seguintes regras:

á sim, claro, meu firewall tem como politica

IMPUT DROP
FORWARD DROP
OUTPUT ACCEPT

vamos as regras:

iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 8080 -j DNAT --to 192.168.1.2:80

iptables -t nat -A POSTROUTING -s 200.200.200.200 -p tcp --dport 8080 -j ACCEPT

iptables -A -p POSTROUTING -p tcp -s 192.168.1.2 --sport 80 -j SNAT --to 200.200.200.200:8080

iptables -t nat -A POSTROUTING -s 192.168.1.2 -p tcp --dport 80 -j ACCEPT

Vejam se estou certo....
1 regra:ok, fizemos um prerouting para tudo que chegar na porta 80, ser repassado para 192.168.1.2 na porta 80
2 regra: estamos aceitando um postrouting para a porta 8080
3:Tudo que sair de minha porta 80 da minha maquina interna ir para 200.200.200.200:8080
4:Aceitando o postrouting da porta 80 de 192.168.1.2


é isso ai, claro que estou esquecendo de algo... estou fazendo varios testes aqui, porem não estou conseguindo..

Se alguem puder me dar uma ajuda , ficarei eternamente grato.

Valew por Ler meu HELP aqui!

Abraços a todos , e fico no aguardo!

Fui...

se vc quer qas pessoas acessem por

http://200.xxxxxxxxx e ele acesse o tomcat q ta rodando na rede interna no 192.168.1.2 8080 sua regra ta ao contrario

iptables -t nat -A PREROUTING -p tcp -d 200.xxxxxxx --dport 80 -j DNAT --to 192.168.1.2:8080

e tb coloca isso:

iptables -A FORWARD -s 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT

bom se eu fosse vc deixava o forward como accept soh pra testar o redirecionamento, dps q vc tiver certeza de q ta ok vc fecha ele denovo

Ice, você tem toda a razão.
Porem existe um motivo pra isso, aqui em casa onde estou testando , tenho utilizo Speed , e os LAZA*** bloqueiam minha porta 80 , então coloquei nessa regra para utilizar a porta 8080 na web i (DESCULPE REALMENTE NÂO DISSE ISSO NO POST).
....

Sorry...

Já até troquei aqui a porta 8080 , para caso fosse bloqueada tambem , coloquei 20000 2000 , porem , sem sucesso.



=/

nao sei se eh ai o caso, mas tem um amigo meu q usa adsl e os fdp devem mascarar o ip pq nao da pra conectar em nenhuma porta!!!!!!!!

vc jah deixou o forward como accept soh pra testar o redirecionamento?

tipo cria a regra ai com alguma porta alta soh pra testar, ai abre o iptraf, dps tenta se conectar e ve oq aparece no iptraf... se nao mostrar pelo menos uma conexao S ou RESET eles tb tao bloqueando qq acesso ao speedy

Opa, FORWARD's colocados pós minhas regras de PREROUTING e POSTROUTING





iptables -A FORWARD -s 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT



ainda não... =]

ic3, eu tenho um servidor ssh aqui em casa, acabei de entrar em um servidor remoto, e de lá consegui acessar meu ssh aqui...
ou seja, tá funfando.

blz, se vc consegue acessar o ssh a porta 80 tb nao ta bloqueada

soh pra garantir usa somente essas regras:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d 200xxxx 80 -j DNAT --to 192.168.1.2:8080


soh essas duas, nao precisa fazer snat, e deixa o forward accept

PS: e cria o masquerade tb
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE

fiz assim


iptables -t nat -A PREROUTING -d 200.148.126.57 -p tcp --dport 9090 -j DNAT --to 192.168.1.2:80

e oq deu?
alias no 192.168.1.2 o tomcat num tava rodando na porta 8080?

Sim sim, porta 8080 , bati errado aqui 9090....

nada...

certeza que é o speedy.....
tentei acessar outras portas aqui, e parece que o laza*** ta bloqueando httpd://


tenho o no-ip e não to conseguindo acessar tambem!!!!
afff

isso que é FOD* quando estou resolvendo uma coisa , surge outra pra atrapalhar....
isso é so comigo? hehehee
ic3.
pelo menos sei que a regra deve funcionar no trampo, aqui em casa por não ser speedy business os nego cag* com minhas conexões...
afff
Ic3 valew por tudo mesmo Irmão, quebrou mo galho =]
Valew mesmo!

eu jah tava comecando a ficar preocupado se eu tava falando merda heheheh
esses nego do speedy sao fo$%#$%, bom aki em casa eu tb uso, mas tenho ip fixo igual business e tb tenho todas as portas liberadas hehehehe

eu posso te ajudar, na maquina onde ta o firewall ou na maquina do tomcat, tem algum servidor web(apache) que faz integração com o tomcat?

só me responde isso...

vlw falow

Galera eu tenho uma observacao, olha so... no POSTROUTING nao precisa colocar o -d porque so existe 1 IP valido nesse caso, eh tem um detalhe quando vc coloca o -d no Linux e os pacotes chegam ele nao entende isso, ao menos que seja PPPoE esse Speedy, o route(modem) nao tem outros IPs alocados entao eh algo do tipo:

Código :

---

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 192.168.1.2:8080
 
iptables -t nat -A POSTROUTING  -s 192.168.1.2 -p tcp --sport 8080 -j SNAT --to 200.148.126.57

---

Testa ai eh me da um alo!

Pensando aqui, o SNAT nao e' necessario!!!

povo leiam os posts anteriores... jah ta resolvido... eh o speedy q ta bloqueando... nem http no proprio micro q ligado no modem vai....

se ele usar o apache fazendo integração com o tomcat, basta a 80(http) dele ta liberado ele pode acessar o servidor, mas pelo que eu li, ta tudo bloquiado, xa pra la

Ai pessoal valew pelas respostas =]
Ok, agora estou em meu trampo.
tenho minhas portas todas liberadas aqui devido ao acesso ser businnes.
Vamos lá.
Respondendo a pergunta do Brenno , tenho o tomcat rodando e não o modulo do tomcat rodando no apache.
ele roda em minha porta 8080.

blz.
inicialmente no meu firewall eu abilito o repasse de pacotes.
de pacotes:

echo 1 > /proc/sys/net/ipv4/ip_forward

limpo as regras, caso já tenha alguma pré definida.
iptables -F
iptables -t nat -F
iptables -X -t nat
iptables -Z
tenho a politica de drop , apenas com o output como accept
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

mascaro minha rede
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
sim aqui minha internet é na eth1

Tenho minha regra de FORWARD estabelecida para a minha rede
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24

para minha regra de INPUT, vamos colocar alguma segurança =]
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP


para conseguir acessar meu firewall por ssh "momentaneamente dei um input accept para minha rede interna.
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

aqui eu vou liberar a porta 80 no servidor , para a mesma conseguir repassa-la
para o senho TOMCAT na outra maquina interna.
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

agora chego o momento:
estou redirecionando a minha porta com as seguintes regras

iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
#sei que eu tinha uma regra já aceitando forward para minha rede interna ali em cima, porem.....


conversando ontem com o 1c3_m4n, que foi um cara super 10, troquei as minhas regras que eu tinha feito, para apenas 1.
que seria:

iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 80 -j DNAT --to 192.168.1.100:8080



porem por algum santo motivo.... isso não está funcionado como deveria.

Agradeço a todos por terem a paciência de ajudarem um desmemoriado como eu hehehe

então fico aqui agurdando respostas.

Abraços

CURIOSIDADE:
Quando acesso no browser:
http://200.200.200.200
ele fica a carregar............
e depois de uns 3 min morre.

perai vc ta somente com essa regra de prerouting?
alem dela como estao as regras forward?

ele deve ta conectando mas pelo forward estar drop ele nao deixa trafegar nada.....
alem da prerouting coloca akelas 2 de forward com a opcao -m state que eu tinha passado antes

1c3...
tava testando isso aqui agora.
acabei de colocar
iptables -P FORWARD ACCEPT
como padrão
só pra testar....
e nem assim....

respondendo a sua pergunta...
minhas regras de forward estão momentaneamente:

iptables -P FORWARD ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT


foi impressão minha ou você se assustou???
que cagada eu to fazendo que eu não to vendo, hehehehee =]

hehehe q regra eh essa aki:
iptables -A FORWARD -s 192.168.1.0/24

cortou um pedaco ou ta mesmo faltando -j ACCEPT?

cabei de passar um nmap de fora da minha rede, aqui para meu ip,

e eu to com a porta 80 aberta,
e com
telnet 200.200.200.200 80

ele me prega o telnet
Escape character is "^]".

ou seja que tá meio funcional está.

=]

o 1c3 hehehe esqueci de colocar aqui o -j ACCEPT.

esqueci de postar aqui , mais no meu firewall tá sim com -j ACCEPT


=]

bom o redir entaum ta funfando....

hmmm o forward ainda ta como accept ou vc volto pro drop?

1c3 =]


deu certo manowwww!!!!!
hauahuauha

Citação:

---

Tenho minha regra de FORWARD estabelecida para a minha rede
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24

---

essa regra iptables -A FORWARD -s 192.168.1.0/24

não entendir ela.. ta servindo pra que? só precisa do -m state --state ESTABLISHED,RELATED -j ACCEPT

Citação:

---

para conseguir acessar meu firewall por ssh "momentaneamente dei um input accept para minha rede interna.
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

---

vc ta liberando tudo da sua rede interna pra seu firewall

eh bom vc colocar um --dport e a porta que seu ssh ta rodando

Citação:

---

iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 80 -j DNAT --to 192.168.1.100:8080

---

seu ip eh fixo?(valido) se não for, tira o -d 200.200.200.200

oq eu te conselhor eh instalar o apache na maquina 192.168.1.100

e faz a integração com o tomcat, isso muito facil, tenho uma documentacao que eu mesmo fiz, só to esperando ter um pouco mais de tempo para publicar aqui na under.

depois que vc fizer isso,

ao digita no bloser de fora http://ipda-eth1/sua-aplicacao,

ele joga essa requisição na porta 80 pro apache que em seguida, ele vai se comunicar com o tomcat na porta 8009, e tudo vai funcionar perfeitamente.


iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.100:80

falow

qualquer coisa me manda msg q eu te passo meu msn..

putz, demorei pra postar, eheheh o importante eh que funcionou... falow

Uia eita....

Realmente está funcionando apenas quando a regra FORWARD padrao fica ACCEPT

iptables -P FORWARD ACCEPT


se mudar pra DROP , ta parando...

mesmo com
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT


....

MAJOR, faz o que eu te falei, eu já fiz isso e ta tudo certo, já passei por isso varias vezes, todas deu ok...

eu agaranto ;)

breno ele nao ta usando apache no servidor interno, eh soh o tomcat mesmo.

mas ta estranho soh tendo -m state como accept jah era pra funcionar...... nao sei como o tomcat trata isso, mas se ele usa a 8080 soh pra se conectar e depois abre a conexao com o cliente em outra porta eh por isso q ta bloqueando qdo vc coloca drop como padrao, o related,established soh permite conexoes jah estabelecidas, entao se eles abrem uma nova conexao vai mesmo ser bloqueada....

bom se for isso mesmo ou vc libera tudo pra essa maquina ou abre o iptraf e fica monitorando ai pra ver oq acontece, quais portas ele ta tentando acessar

Citação:

---

Postado originalmente por 1c3_m4n

breno ele nao ta usando apache no servidor interno, eh soh o tomcat mesmo.

mas ta estranho soh tendo -m state como accept jah era pra funcionar...... nao sei como o tomcat trata isso, mas se ele usa a 8080 soh pra se conectar e depois abre a conexao com o cliente em outra porta eh por isso q ta bloqueando qdo vc coloca drop como padrao, o related,established soh permite conexoes jah estabelecidas, entao se eles abrem uma nova conexao vai mesmo ser bloqueada....

bom se for isso mesmo ou vc libera tudo pra essa maquina ou abre o iptraf e fica monitorando ai pra ver oq acontece, quais portas ele ta tentando acessar

---

bom, to sabendo que ele usa somente tomcat, eu to dando uma solução pra ele, mas exite outras, rola o tcpdump e ve as portas que ele ta usando, falow

Então só pra terminar o post, para caso alguem queira consultar.


realmente tive que trocar minha regra de

iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT


para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT



Valew 1c3 pela força =]


valew Brenno =] posteriormente até penso sim em colocar ele pra trabalhar como modulo do Apache, porem hoje isso me iria gerar um tempo que não desponibilizava =]

Valew

Citação:

---

Postado originalmente por MAJOR

realmente tive que trocar minha regra de

iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT


para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT

---

se isso resolveu eh akilo q eu tinha falado mesmo, ele usa a porta 8080 pra iniciar a conexao mas depois deve abrir outra porta e gera uma nova conexao.... bom depois qdo vc tiver saco e tempo, abre o iptraf ou qq outro programa pra monitorar a rede, e ve quais portas que ele usa

Citação:

---

Postado originalmente por 1c3_m4n

Citação:

---

Postado originalmente por MAJOR

realmente tive que trocar minha regra de

iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT


para
iptables -A FORWARD -s 192.168.1.100 -j ACCEPT
iptables -A FORWARD -d 192.168.1.100 -j ACCEPT

---

se isso resolveu eh akilo q eu tinha falado mesmo, ele usa a porta 8080 pra iniciar a conexao mas depois deve abrir outra porta e gera uma nova conexao.... bom depois qdo vc tiver saco e tempo, abre o iptraf ou qq outro programa pra monitorar a rede, e ve quais portas que ele usa

---

para vc não precisar abri um monte de porta no seu firewall, usar o tomcat integrado junto com apache, essa integração eu faço em 10 minutos, depois que vc fez a integração, vc so trabalhar com a porta 80, e esquece o resto :D, to precisando de tempo pra arruma o howto tomcat com apache que já ta pronto, mas falta organizar e corrigi os erros em portugues, mas se precisar, entra em contato q te passo... falow