dúvidas sobre regras.

23-07-2005, 09:22

Pessoal tenho um firewall.
eth0 = rede externa
eth1 = rede interna

para liberar a porta 80 , na rede interna eu uso o forward certo ?
e os pacotes da rede interna para meu firewall é input ?

e output n tem para rede interna ?

**roggy** · 23-07-2005, 12:09

Caro,

lendo o conteudo de http://focalinux.cipsga.org.br/guia/...w-iptables.htm vc nao se questionara mais.

:good:

23-07-2005, 20:10

Realmente eu li, mas fiquei um pouco confuso com a minha pergunta...

**Skorpyon** · 23-07-2005, 20:55

Leia novamente o guia foca
Pesquise em topicos antigos ae no forum.
Faça testes ae.

23-07-2005, 22:34

realmente eu não tenho possibilidade para fazer testes, pois o modem está longe do pc com linux.

**gsiena** · 23-07-2005, 23:12

Amigo, talvez isso te ajude:
a cadeia INPUT controla oq ENTRA no firewall (no caso o servidor linux), ex: pacotes vindos da Internet com destino ao servidor

a cadeia FORWARD controla oq PASSA pelo firewall (ex: pacotes vindos da rede interna com destino à Internet).

a cadeia OUTPUT controla oq SAI do servidor, ex: um pacote gerado no proprio servidor com destino à Internet.

Mais detalhes tem q dar uma lida no material que tem na web... o guia Foca é um dos melhores.
flw??
T+

23-07-2005, 23:27

muito obrigado
estava achando que o forward era para o server tb....
acho que ficou claro agora

Sai do server com destino para internet = OUTPUT
Rede Interna para o Server = INPUT
Rede Externa para o server = INPUT tb.
Rede Interna para internet = FORWARD

Mais uma perguntinha: :good:
Então toda porta que eu liberar no forward para rede interna e não especificar um certo ip, ela será considerada para todos os micros da rede interna ?

Obrigado :clap:

**roggy** · 24-07-2005, 11:13

Postado originalmente por Anonymous

Então toda porta que eu liberar no forward para rede interna e não especificar um certo ip, ela será considerada para todos os micros da rede interna?

Isso mesmo!
Por exemplo:

LAN=192.168.0.0/24
IFACE=ppp0

iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT (regra para todos os hosts da rede)
iptables -A FORWARD -o $IFACE -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT (regra apenas para o ip 192.168.0.10)

Falow!! :good:

24-07-2005, 11:17

realmente agora ficou bem claro.
Essa semana vou colocar o micro como gateway e tirar um dia para testes.

Muito Obrigado

**pssgyn** · 27-07-2005, 00:14

Postado originalmente por gsiena

Amigo, talvez isso te ajude:
a cadeia INPUT controla oq ENTRA no firewall (no caso o servidor linux), ex: pacotes vindos da Internet com destino ao servidor

a cadeia FORWARD controla oq PASSA pelo firewall (ex: pacotes vindos da rede interna com destino à Internet).

a cadeia OUTPUT controla oq SAI do servidor, ex: um pacote gerado no proprio servidor com destino à Internet.

Mais detalhes tem q dar uma lida no material que tem na web... o guia Foca é um dos melhores.
flw??
T+

Gsiena, estou lendo o guia focalinux na parte do iptables também. Mas essa explicação sua me ajudou bastante mesmo. Eu também não conseguia diferenciar INPUT, FORWARD e OUTPUT. Se puderes dar uma palhinha sobre o PREROUTING E POSTROUTING , seria legal.
Valeus amigo. Brigadão mesmo .....

**gsiena** · 27-07-2005, 01:31

bom, vamos tentar, apesar q do PREROUTING E POSTROUTING ainda preciso me aprofundar mais.

nat - Usada para dados que gera outra conexão (masquerading, source nat, destination nat, port forwarding, proxy transparente são alguns exemplos). Possui 3 chains padrões:

PREROUTING - Consultado quando os pacotes precisam ser modificados logo que chegam. É o chain ideal para realização de DNAT e redirecionamento de portas, ex: vc tem um router Linux com IP 200.201.202.203 e um micro em sua rede local com ip 192.168.0.1, rodando um servidor web. como os micros de fora da sua rede (os micros na internet) vao enxergar o 192.168.0.1, se ele nao é um ip roteavel na internet? ai entra o PREROUTING... os micros na Internet vao acessar seu servidor web pelo ip 200.201.202.203... vai cair no router, e ele atraves de uma regra PREROUTING vai redirecionar essa conexao pro ip 192.168.0.1... isso chama-se redirecionamento de porta ou ip

POSTROUTING - Consultado quando os pacotes precisam ser modificados após o tratamento de roteamento. É o chain ideal para realização de SNAT e IP Masquerading. o POSTROUTING faz exatamente o inverso do PREROUTING... vamos supor q vc tenha o mesmo router Linux anterior com IP 200.201.202.203 e um micro dentro de sua rede com ip invalido na internet (192.168.0.1), e nesse micro interno vc precisa acessar a internet ... como vc vai enxergar a internet se nao tem um ip valido para a mesma? ai entra o POSTROUTING...o micro com ip invalido envia uma conexao pro router Linux... este examina o pacote e "transforma" a origem do pacote como 200.201.202.203, fazendo assim o micro da rede acessar normalmente a internet.. isso chama-se NAT (Network Address Translation)

olhe o exemplo pra vc entender melhor:

PREROUTING
internet ----> router Linux ----> estação
200.201.202.203 192.168.0.1

POSTROUTING
estação -------> router Linux ----> internet
192.168.0.1 200.201.202.203

acho q ficou meio confuso :P ve se da pra entender, qualquer coisa poste novamente.
Abraço!
GabrieL

**pssgyn** · 27-07-2005, 14:57

Gsiena, mas uma vez obrigado.
Sei que essas explicações tem no guia focalinux. O problema é que lá o texto é colocado de uma forma um tanto técnica e fica difícil visualizar a explicação.
E o seu texto foi de forma simples e direta.
Valeu mesmo. Um grande abraço ..... :clap: :clap: :clap: :good:

**gsiena** · 28-07-2005, 01:10

Precisando estamos na area (H)
faloww

**Skorpyon** · 28-07-2005, 09:49

Tem uns scripts de firewall que foram colocados em uns posts anteriores.
De uma olhada neles.
Assim fica mais facil para ver como funciona as regras.
E sempre que possivel teste elas ae.

dúvidas sobre regras.

Ferramentas de Tópicos