+ Responder ao Tópico



  1. Galera seguinte, se eu rodo o ftp no firewall fica tudo certim, porem quem vai roda ftp é outra maquina interna, olha como fiz o firewall, no proftd dexei como passiveport de 60000 a 61000, eu presivo fazer um dnat nessas portas ou so na 21 e 20 ? pois não esta funcionando o prerouting, so lembrando que o gateway do ftp não é o meu firewall é o cisco citado acima.

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando configurações anteriores"
    iptables -F

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT

    #LIBERA UOL
    iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    #teste FTP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.250:21
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.1.250:20
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:61000 -j DNAT --to 192.168.1.250:60000

    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #FTP
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #WWW
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    #Rede Local Free
    iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
    iptables -A INPUT -p udp -i eth0 -j ACCEPT

    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP

  2. Citação Postado originalmente por GuE Ver Post
    Galera seguinte, se eu rodo o ftp no firewall fica tudo certim, porem quem vai roda ftp é outra maquina interna, olha como fiz o firewall, no proftd dexei como passiveport de 60000 a 61000, eu presivo fazer um dnat nessas portas ou so na 21 e 20 ? pois não esta funcionando o prerouting, so lembrando que o gateway do ftp não é o meu firewall é o cisco citado acima.

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando configurações anteriores"
    iptables -F

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT

    #LIBERA UOL
    iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    #teste FTP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.250:21
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.1.250:20
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:61000 -j DNAT --to 192.168.1.250:60000

    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #FTP
    #iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    #iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #WWW
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    #Rede Local Free
    iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
    iptables -A INPUT -p udp -i eth0 -j ACCEPT

    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP
    Você vai ter que fazer um SNAT se não não vai funcionar...



  3. Eita nunca vi isso, tem como dar uma ideia ? Outra duvida, o prerouting fica antes ou depois do input ?

  4. Citação Postado originalmente por GuE Ver Post
    Eita nunca vi isso, tem como dar uma ideia ? Outra duvida, o prerouting fica antes ou depois do input ?
    A prerouting fica antes da INPUT. Aqui tem um esquema de todas as chains: http://focalinux.cipsga.org.br/guia/...w-iptables.htm
    Procura pelo item 10.7.9.

    Quanto ao SNAT, na mesma página no ítem 10.4.3. Pra esse eu consegui um link direto: Guia Foca GNU/Linux - Firewall iptables

    O SNAT é tranquilo, é um NAT de Origem (Source NAT).

    Qualquer dúvida posta ai...



  5. Magnum vc acha de devo trocar no input da rede local a inerface pela rede ? Grato.

    eth1 por 192.168.0.0/24 ?

    Outra coisa, vi alguns artigos que para fazer o redirect ele primeiro jogava o prerouting e depois input e outras usavam o foward qual a diferença ?

    #iptables -A FORWARD -j ACCEPT -p tcp --dport 80
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.80.32:80
    Última edição por GuE; 23-10-2008 às 13:05.






Tópicos Similares

  1. PTP qual possibilidade?
    Por Eric Northman no fórum Redes
    Respostas: 1
    Último Post: 11-03-2014, 20:39
  2. Anti-Virus para Email. Qual voces aconselham?
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-11-2002, 14:57
  3. Respostas: 2
    Último Post: 06-11-2002, 18:51
  4. Qual porta escolher para o apache com speedy home!?
    Por peralles no fórum Servidores de Rede
    Respostas: 3
    Último Post: 26-09-2002, 16:59
  5. Qual mini-dist em SBC?
    Por Falco no fórum Redes
    Respostas: 0
    Último Post: 06-09-2002, 13:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L