Compartilhar interface eth0:1

**Slackdi** · 15-08-2008, 14:43

Pessoal, estou tentando compartilhar a internet que recebo via minha interface virtual eth0:1 mas não está funcionando, alguém sabe por que?

[root@srv01 ~]# iptables -t nat -A POSTROUTING -o eth0:1 -j MASQUERADE
Warning: wierd character in interface `eth0:1' (No aliases, :, ! or *).

At.,

**zenun** · 16-08-2008, 13:36

Então amigo... a eth0:1 não é uma interface! É um alias!
Então você precisaria fazer um SOURCE NAT mais ou menos assim:

Pode ver que o iptables diz explicitamente:

Código :

Warning: wierd character in interface `eth0:1' ([B]No aliases, :, ! or *[/B]).

Então você faz assim:

Código :

[B]iptables -t nat -A POSTROUTING -s <sua rede>/<sua mascara> -j SNAT --to <seu ip valido>
[/B]

Não esqueça de habilitar o ipforward!

Falowww

**Slackdi** · 22-08-2008, 13:59

Obrigado, funcionou perfeitamente.

Aproveitando será que você pode me ajudar no meu firewall? Estou montando um firewall do zerado e não gostaria de usar o MASQUERADE para mascarar a conexão, na verdade nem sei muito bem para que server. Estou com um problema que não consigo permitir que os meu servidor interno resolva nome, será pode me ajudar?

**zenun** · 22-08-2008, 14:02

Opa...
Então meu amigo...
Pode ser que seu servidor não tenha setado o servidor dns "/etc/resolv.conf"!
Ou ele não tem permissão para sair usando a porta 53!
Como esta seu firewall?

Faloww

**Slackdi** · 23-08-2008, 00:39

Olá Zenun, eu ja tentei milhares de regras mas nada deu certo meu firewaal ta assim:

#! /bin/sh

# Carregando os Módulos
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat

# Ativando o roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

# Limpando as regras
iptables -F
iptables -F -t nat

# Politica padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Descarta pacotes malformados, protegendo contra ataques diversos:
iptables -A INPUT -m state --state INVALID -j DROP

# Libera todo o acesso a interface loopback
iptables -t filter -A INPUT -j ACCEPT -i lo

# Permite acesso total da rede interna para o firewall
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT

# Mantem as conexoes estabelecidades e relatadas
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# Impede a abertura de novas conexões
iptables -A INPUT -p tcp --syn -j DROP

# Redireciona as conexoes da porta 80 para a porta 3128 do squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se vc puder me ajudar serei muito grato pois todos os dias tento arrumar isso

**zenun** · 23-08-2008, 00:51

Ola amigo..
Se essas são todas as regras que você tem ai, esta faltando você permitir o trafego na chain FORWARD!

Código :

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -s <sua rede>/<sua mascara> -o <interface internet> -j ACCEPT

Coloca ai e testa!

Voce precisa dessas regras ai para qualquer trafego que nao seja porta 80!

Faloww

**Slackdi** · 24-08-2008, 23:53

Zenun, mas com essa regra eu vou liberar todo o trafego certo? Eu não queria isso .. eu quero deixar tudo bloqueado e liberar aos poucos

**Slackdi** · 25-08-2008, 00:55

Zenun, as regras que você não deram certo.
Vc tem msn?

**zenun** · 25-08-2008, 12:46

Ola amigo...
Então cara... como esta sua configuração final?

**Slackdi** · 26-08-2008, 12:06

Zenun, final ficou assim:

#!/bin/sh
# Carregar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

# Tabelas padrão
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Descarta pacotes malformados, protegendo contra ataques diversos:
iptables -A INPUT -m state --state INVALID -j DROP

# Libera todo o acesso a interface loopback
iptables -t filter -A INPUT -j ACCEPT -i lo

# Permite acesso total da rede interna para o firewall
iptables -A INPUT -s 10.10.10.0/255.255.255.0 -i eth0 -j ACCEPT

# Libera o SSH
iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT

# Mantem as conexoes estabelecidades e relatadas
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# Impede a abertura de novas conexões
iptables -A INPUT -p tcp --syn -j DROP

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -s 10.10.10.0/24 -o eth0 -j ACCEPT

Só que essa regra liberou tudo iptables -t filter -A FORWARD -s 10.10.10.0/24 -o eth0 -j ACCEPT tanto a consulta DNS quanto a navegação web, eu só quero permitir que o usuário consiga resolver nomes usando um servidor de dns externo.

**zenun** · 26-08-2008, 12:12

Então camarada...
A finalidade dessa regra é exatamente isso! Hehehe
Mas se você quiser liberar somente DNS (ou seja, seus usuários só irão conseguir resolver um nome em ip) você precisa em vez de liberar assim:

Código :

iptables -t filter -A FORWARD -s 10.10.10.0/24 -o eth0 -j ACCEPT

Precisa deixar assim:

Código :

iptables -t filter -A FORWARD -s 10.10.10.0/24 -p udp --dport 53 -o eth0 -j ACCEPT

Assim você esta dizendo que somente trafego vindo da sua rede com o protocolo udp com porta de destino 53 estará
permitido a passar pelo seu firewall e nada mais! Espero que ajude!

**Slackdi** · 26-08-2008, 14:07

Zenun,

Agora deu certo, ele nao retorna o ping mas o endereço ele resolveu, acho que vai funcionar.
Agora só para matar se eu quiser que ele consulte somente um dns especifico como devo fazer? Porque com a regra que você me passou esta liberado a porta 53 se eu quiser a porta 53 de um determinado servidor como devo fazer?

Muito obrigado até agora!

**zenun** · 26-08-2008, 14:25

Ola amigo...
Se quiser permitir ping coloque também assim

Código :

iptables -t filter -A FORWARD -p icmp -j ACCEPT

E para especificar o endereço do DNS que você quer adicionar o seguinte ao comando:

Código :

-d <ip do servidor dns>

Falowww

**Slackdi** · 26-08-2008, 15:28

Olá Zenun,

Deu tudo certo.
Muito obrigado mesmo, de pessoas assim que o forum precisa.
A primeira parte do firewall ja foi, agora preciso liberar o e-mail e permitir que uma máquina em especifica da minha rede tenha acesso total a rede sem passar pelo firewall vou pesquiser e qualquer coisa volta a postar.

Muitoo Obrigado

**zenun** · 26-08-2008, 16:40

Ola amigo!
Obrigado pelas palavras!

Então quando você quiser liberar alguma maquina totalmente para o acesso a internet você pode colocar essa regra depois daquela que verifica os pacotes RELACIONADOS, e ESTABELECIDOS (-m state --state ESTABLISHED,RELATED) assim:

Código :

iptables -t filter -A FORWARD -s <ip da maquina de origem> -o eth0 -j ACCEPT

Assim esse ip não será restringido pelas outras regras!
E para liberar o e-mail, o principio é o mesmo para a regra de DNS que te passei!
Qualquer coisa poste aee!!

André

p.s.: Estou com um blog e sempre estarei postando algumas dicas que acabo usando em minha rede!
Da uma olhada la as vezes!

Compartilhar interface eth0:1

Ferramentas de Tópicos

Compartilhar interface eth0:1