Dica em IPtable

[Atos_Network]

Preciso resover uma questão com urgência, tem Conectiva7 rodando com Iptable, esse servidor tem a seguinte configuração:

eth0 rede interna 191.161.10.1
eth1 internet 200.200.200.1

esta eth1 recebe requisições da internet na porta 3050 e direciona para outro servidor com ip 191.161.10.100 para isso se usa os seguintes comandos:

# Permite o Acesso ao servidor de Banco de Dados FireBird
iptables -A FORWARD -p tcp -i eth1 --dport 3050 -d 191.161.10.100 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.100 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3050 -j DNAT --to 191.161.10.100


Agora vem a questão, tenho mais um servidor 191.161.10.253 que tem outro banco de dados, no firewall coloquei outra ethernet que ficou com eth2 200.200.200.20 preciso direcionar as requisições que chegam nessa placa para este outro servidor (191.161.10.253), a dúvida é, posso duplicar as regras acima mudando paenas os endereços? Tem algum problema por a porta ser a mesma 3050 ?

Agradeço a ajuda desde já. (urgente)
_________________
Marcelo C. Leite
Consultor de TI
Atos Network

[1c3m4n]

se vc alterar o endereco nas regras num tem problema nenhum....

Então, eu alterei e não funcionou, existe alguma configuração a mais que eu tenha que fazer, a questão de ter outra ethernet, o iptable reconhece ela sozinho?

[1c3m4n]

Agora vem a questão, tenho mais um servidor 191.161.10.253 que tem outro banco de dados, no firewall coloquei outra ethernet que ficou com eth2 200.200.200.20


ptables -A FORWARD -p tcp -i eth2 --dport 3050 -d 191.161.10.253 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.253 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 3050 -j DNAT --to 191.161.10.253

eh assim q ficou? observe que agora usa eth2 e naum eth1

[Atos_Network]

Então, fiz isso e não funcionou, lembrando que mantive a regra anterior, pois são dois bancos em servidores diferentes.

Cada vez que altero essas regras elas se aplicam sozinhas ou tenho que reiniciar o servidor? Existe algum comando para restartar o iptable sem reiniciar a maquina?

Seria : #service iptable restart

???

[1c3m4n]

se for redhat eh service iptables start
se vc digitou essas regras na mao elas se aplicam sozinhas mas se a maquina for rebootada vc vai perder as regras

[Atos_Network]

Caramba... estou surpreso.

Mesmo eu salvando elas no VI quando reinicio perde? Consegue me explicar porque?

Na maquina esta instalado o conectiva 7, sabe qual o comando para não perder mais?

Obrigado desde já.

[1c3m4n]

se vc ta salvando elas em um arquivo por ex:
/etc/regras
qdo vc inicializar o sistema vc tem q falar pra ele recarregar elas denovo

se vc tiver usando RH/conectiva faz assim, aplica suas regras ae executa
iptables-save > /etc/sysconfig/iptables
executa o ntsysv e habilita o iptables pra inicar com o boot q ele vai carregar tudo sozinho

se for outra distro:
chmod +x /etc/regras
dentro do /etc/rc.d/rc.local coloca a linha
/etc/regras

[Atos_Network]

Cara, esta tudo certinho, não falta algum NAT ? segue me script abaixo:

iptables -F
iptables -t nat -F

# Regras para Efetivar Log
iptables -A INPUT -p tcp -i eth1 -m state --state INVALID -j LOG --log-prefix "IPTables: Estado INVALIDO"

#iptables -A INPUT -p tcp -i eth1 --dport 22 -j LOG --log-prefix "IPTables: SSH"
#iptables -A FORWARD -p tcp --dport 4662 -j LOG --log-prefix "EMULE.: "
#iptables -A FORWARD -o eth1 -p tcp --dport 25 -j LOG --log-prefix "SMTP.: "
#iptables -A FORWARD -i eth0 -p tcp ! --dport 80 -j LOG --log-prefix "monitoramento.: "

# IP Spoofing protection
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $i
done

# Ignora solicitação de ping
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

# Regras para proibir conexao externa nos determinados servicos
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 53 -j DROP
iptables -A INPUT -i eth1 -p udp --dport 53 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p udp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 21 -j DROP
# iptables -A FORWARD -p tcp --dport 4662 -j REJECT #EMULE
# Determinando informações da placa de rede do speed
# iptables -A OUTPUT -j ACCEPT

# Permitir navegacao sem proxy para estas maquinas
iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT

# Libera acesso a envio e recebimento de email
iptables -A FORWARD -p tcp -i eth0 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 110 -j ACCEPT

# Liberar Acesso ao banco(instituição financeira) para as seguintes máquinas
iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT

# Permite o Acesso ao servidor de Banco de Dados FireBird
iptables -A FORWARD -p tcp -i eth1 --dport 3050 -d 191.161.10.100 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.100 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3050 -j DNAT --to 191.161.10.100

#Atos
iptables -A FORWARD -p tcp -i 200.205.194.11 --dport 3050 -d 191.161.10.253 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.253 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i 200.205.194.11 --dport 3050 -j DNAT --to 191.161.10.253

# Bloquear navegacao sem proxy para as demais maquinas
iptables -A FORWARD -p tcp -i eth0 -j REJECT
iptables -t nat -A POSTROUTING -j MASQUERADE

[1c3m4n]

olha o erro aki;
iptables -t nat -A PREROUTING -p tcp -i 200.205.194.11 --dport 3050 -j DNAT --to 191.161.10.253

num eh -i 200.205.194.11 e sim -d 200.205.194.11
e muda isso aki tb:
iptables -A FORWARD -p tcp -i eth0 -j REJECT
iptables -t nat -A POSTROUTING -j MASQUERADE

pra
iptables -A FORWARD -p tcp -i eth0 --dport 80 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

Continua não funcionando

Por acaso

iptables -A FORWARD -p tcp -i eth0 --dport 80 -j REJECT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

no --dport 80 não seria 3050 ? que é a porta de meu serviço?

[1c3m4n]

naum isso eh pra ninguem sair por http sem proxy

[1c3m4n]

Faz o seguinte vamos refazer esse firewall q eh mais facil
primeiro libere TUDO, deixa tudo como accept e crie apenas as suas regras de redirecionamento

iptables -t nat -A PREROUTING -p tcp -d IP_EXTERNO1 --dport 3050 -j DNAT --to IP_INTERNO1
iptables -t nat -A PREROUTING -p tcp -d IP_EXTERNO2 --dport 3050 -j DNAT --to IP_INTERNO2
iptables -t nat -A POSTROUTING -s REDE_INTERNA -j MASQUERADE

se isso funcionar depois vc vai criando as regras de bloqueio

[Atos_Network]

Boa noite 1c3_m4n

Em primeiro lugar agradeço sua ajuda que tem sido muita, sou novato em Linux e este trabalho vai me ajudar a alavancar muita coisa, não posso mais desisistir, a situação é a seguinte, peguei esse firewall pronto, estas regras estão dentro do diretório /etc/rc.d/init.d/regras

Quero saber o seguinte, se eu apagar tudo o que tem nesta regra o que acontece? para de funcionar o firewall ? se eu colocar só direcionamento vai funcionar ?

[1c3m4n]

naum precisa apagar apenas faca
/etc/rc.d/init.d/iptables stop
e digite pela linha de comando as regras q eu passei no post anterior

Amigo, dou o comando #iptables stop e da a seguinte mensagem:

BAD ARGUMENT

a versão do iptables é v1.2.2 seria por isso?

[Jim]

limpa as regras com iptables -f

[1c3m4n]

Amigo, dou o comando #iptables stop e da a seguinte mensagem:

BAD ARGUMENT

a versão do iptables é v1.2.2 seria por isso?

faz oq o Jim falou e atualiza esse iptables cara

[Atos_Network]

da "no command specified"

[Atos_network]

Até gostaria da zerar essa maquina e fazer novamente, mas ela esta tiva e o dono não quer qazer isso.

Me expliquem uma coisa, quando dou o comando iptables -F não mostra nenhuma regra criada. Quer dizer que não esta entrando as regras que estou inserindo?