+ Responder ao Tópico



  1. #1

    Padrão Dúvida arquivo iptables[RESOLVIDO]

    Srs. bom dia!

    Assumi a área de TI da empresa em que trabalhava, como consultor, e agora tenho que trabalhar como gente grande, e estou com uma dúvida em um arquivo de configuração de firewall. Ele tem uma sintaxe diferente das regras de firewall, gostaria de apresentá-lo a voces:

    praxis-sz:~# nano /var/lib/iptables/active
    GNU nano 2.0.2 File: /var/lib/iptables/active
    *nat
    :PREROUTING ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    [0:0] -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE
    ##REDIRECIONAMENTO LICENCESERVER MICROSIGA
    #[0:0] -A PREROUTING -p tcp -m tcp --dport 5555 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
    ## Acesso Externo ao Microsiga
    [0:0] -A PREROUTING -p tcp -m tcp --dport 8110 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
    [0:0] -A PREROUTING -p tcp -m tcp --dport 4020 -d x.x.x.x -j DNAT --to-destination 10.10.10.254
    COMMIT
    *mangle
    :PREROUTING ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    COMMIT
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    COMMIT
    O que ocorre é que eu não sei de onte tiraram esses [0:0] , os *filter,*mangle

    Por que estou perguntando isto:

    Não estou mais, depois de um pico de energia, fazer com que estas regras se apliquem no iptables. Já reinstalei ele, e nada..
    Última edição por morronix; 11-09-2009 às 14:54.

  2. #2

    Thumbs up

    Código :
    iptables -t nat -A PREROUTING -j ACCEPT
    iptables -t nat -A POSTROUTING -j ACCEPT
    iptables -t nat -A OUTPUT -j ACCEPT 
    iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE
     
    ##REDIRECIONAMENTO LICENCESERVER MICROSIGA
    #iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5555 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
    ## Acesso Externo ao Microsiga
    iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8110 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
    iptables -t nat  -A PREROUTING -p tcp -m tcp --dport 4020 -d x.x.x.x -j DNAT --to-destination 10.10.10.254
     
     
    iptables -t mangle -A PREROUTING -j ACCEPT 
    iptables -t mangle -A INPUT -j ACCEPT 
    iptables -t mangle -A FORWARD -jACCEPT 
    iptables -t mangle -A OUTPUT -j ACCEPT 
    iptables -t mangle -A POSTROUTING -j ACCEPT
     
     
    iptables -A INPUT -j ACCEPT
    iptables -A FORWARD -j ACCEPT
    iptables -A OUTPUT -j ACCEPT

    [0:0]

    esdruxulamente falando [ 0:0 ] quer dizer todos!!!
    mas se vc naum especificar no iptables ele reconhece como todos mesmo hehe!!!

    copie em um novo arquivo de permissão de execução e manda bala... depois posta se deu certo!



  3. #3

    Padrão

    O [0:0] indica os contadores daquela chain/tabela. Esse output é gerado pelo comando iptables-save. Ele deve ser utilizado da seguinte forma:
    # iptables-save > backup_regras.rules

    Para restaurar esse backup salvo no arquivo backup_regras.rules você tem que utilizar o comando iptables-restore da seguinte forma:
    # iptables-restore < backup_regras.rules

    Pronto, você re-estabeleceu seu firewall. Qualquer dúvida posta ai.

    Até mais...

  4. #4

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    O [0:0] indica os contadores daquela chain/tabela. Esse output é gerado pelo comando iptables-save. Ele deve ser utilizado da seguinte forma:
    # iptables-save > backup_regras.rules

    Para restaurar esse backup salvo no arquivo backup_regras.rules você tem que utilizar o comando iptables-restore da seguinte forma:
    # iptables-restore < backup_regras.rules

    Pronto, você re-estabeleceu seu firewall. Qualquer dúvida posta ai.

    Até mais...
    hehe,
    achava que era do -s e do -d que quando não sao especificados eram ignorados... heheh

    bom saber...



  5. #5

    Padrão

    Caramba Magnun, matou a pau hein véio, dei um iptables-restore < nome do arquivo e em seguida de i um iptables -L, e nào apareceu nenhuma regra na lista. Isto eh normal?

  6. #6

    Padrão

    Não, deveria ter aparecido as regras normalmente. O iptables-restore não emitiu nenhuma mensagem de erro??

    Até mais...



  7. #7

    Padrão

    cara...
    e o que eu te passei... chegou a fazer ??

    copiar num arquivo dar permissão de execução e executa-lo ???
    aqui funcionou!!!

  8. #8

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Não, deveria ter aparecido as regras normalmente. O iptables-restore não emitiu nenhuma mensagem de erro??

    Até mais...
    praxis-sz:/var/lib/iptables# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    praxis-sz:/var/lib/iptables# iptables-restore < /var/lib/iptables/active
    praxis-sz:/var/lib/iptables# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    praxis-sz:/var/lib/iptables#
    Cara.. aparentemente nada...meu conhecimento de iptables é mínimo, mas um iptables -L exibe as regras aplicadas, certo?

    abraço!



  9. #9

    Padrão

    Citação Postado originalmente por Lincoln Ver Post
    cara...
    e o que eu te passei... chegou a fazer ??

    copiar num arquivo dar permissão de execução e executa-lo ???
    aqui funcionou!!!
    entao, olhe um exemplo de uma regra onde eu troco o [0:0] por iptables:

    iptables -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE
    iptables: No chain/target/match by that name
    O mesmo acontece com todas as demais regras... isso se eu trocar o [0:0] pelo iptables..
    Última edição por morronix; 25-08-2009 às 12:15.

  10. #10

    Padrão

    morronix,

    pelo arquivo que você passou, só existem três regras nesse firewall e as três estão na tabela nat. Tente o seguinte comando:

    Código :
    # iptables -t nat -L -n -v



  11. #11

    Padrão

    fala galhad... acho que já te ajudei com alguma cois ahá algum tempo...hhehehehe

    cara, olha agora, aparentemente tem regras que foram aplicadas sim...
    praxis-sz:/var/lib/iptables# iptables -t nat -L -n -v
    Chain PREROUTING (policy ACCEPT 158 packets, 12277 bytes)
    pkts bytes target prot opt in out source destination
    0 0 DNAT tcp -- * * 0.0.0.0/0 x.x.x.x tcp dpt:xxx to:10.10.10.240
    0 0 DNAT tcp -- * * 0.0.0.0/0 x.x.x.x tcp dpt:xxx to:10.10.10.254

    Chain POSTROUTING (policy ACCEPT 34 packets, 2768 bytes)
    pkts bytes target prot opt in out source destination
    97 4832 MASQUERADE 0 -- * * 10.10.10.0/24 0.0.0.0/0

    Chain OUTPUT (policy ACCEPT 31 packets, 2540 bytes)
    pkts bytes target prot opt in out source destination
    praxis-sz:/var/lib/iptables#
    Confesso que já deveria há mto tempo saber como funfa o iptables, mas fiquei parado por mais de 1 ano e meio, agora q eu to retomando isto..paciencia..heheh
    Última edição por morronix; 25-08-2009 às 12:45. Razão: quem viu, viu, quem nao viu nao ve mais...:P

  12. #12

    Padrão

    Bem lembrado galahad!

    Eu nem havia me tocado que as regras dele eram na tabela NAT!



  13. #13

    Padrão

    Pois é morronix... essas são as únicas regras que existem no firewall iptables. Não tem mais nada naquele arquivo.

    Até!

  14. #14

    Thumbs up

    Citação Postado originalmente por morronix Ver Post
    entao, olhe um exemplo de uma regra onde eu troco o [0:0] por iptables:




    O mesmo acontece com todas as demais regras... isso se eu trocar o [0:0] pelo iptables..

    opa...


    Código :
    iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE

    vc tem que especificar a tabela caso nao seja a "filter"



  15. #15

    Padrão

    Srs. Mais uma vez obrigado a todos. No demais tenho q estudar o iptables para poder conversar com vcs.. mas obrigado mesmo pela força que me deram, abraço!