Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Bom dia,

    Minhas estações de trabalho acessando a internet passando por um firewall iptables (gateway) onde as regras são para isso são (exsite outras regras coloquei aqui somente as que acho q interessa):

    O endereço ip desse firewall é:
    Internet: ppp0
    rede interna: 192.168.0.1

    ##################################################
    # NAT PARA REDE INTERNA ACESSAR A INTERNET
    ##################################################
    iptables -t nat -A POSTROUTING -s $LAN -o ppp0 -j MASQUERADE

    ##################################################
    # REGRAS PARA DNS
    ##################################################
    ####
    # FORWARD PARA DNS
    ####
    iptables -A FORWARD -p udp -s $LAN -d $FW1 -o ppp0 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -d $LAN -s $FW1 -i ppp0 --sport 53 -j ACCEPT
    ####
    # NAT PARA DNS
    ####
    iptables -t nat -A POSTROUTING -s $LAN -p udp --dport 53 -o ppp0 -j MASQUERADE

    #########################################################

    Nas minhas estações de trabalho esta configurado o DNS da velox, 200.165.132.147 e 200.149.55.140.

    O que eu preciso é o seguinte:

    Gostaria que minhas estações podesse navegar na internet de forma que eu configura-se nas estações do endereço ip da meu firewall, ou seja:

    Nas estações de trabalho eu configuraria no DNS o IP: 192.168.0.1, apartir dai ele navegariam normal da internet

    O que necessario fazer para funcionar dessa forma?

    Agradeço desde já
    WASLEY

  2. Você precisa criar um redirecionamento. Um exemplo:

    iptables -t nat -A PREROUTING -s $LAN -p udp --dport 53 -j DNAT --to 200.165.132.147,200.149.55.140



  3. faça diferente !!

    um bom firewall NEGA tudo como padrao, permitindo apenas o que for cadastrado.. alias.. a logica correta de um firewall é esta..


    vamos a um pequeno lembrete:

    CHAIN INPUT -> pacotes que o destino é a PROPRIA maquina firewall
    CHAIN OUTPUT -> pacotes que sao gerados LOCALMENTE no firewall com destino a outra maquina
    CHAIN FORWARD -> pacotes de ATRAVESSAM o firewall

    alguns exemplos de uso:

    * no firewall voce tem também um SERVIÇO que roda na porta TCP 80.. para FILTRAR ou BLOQUEAR pacotes para este serviço, deve-se usar a chain INPUT

    * voce nao quer que o firewall acessa a porta 200 .. entao deve-ser usar a chain OUTPUT

    * um usuario que esta atras do firewall e quer acessar uma maquina que esta 'na frente' do firewall, voce utiliza a chain FORWARD



    entao podemos fazer algumas regras agora, vamos supor que:

    - sua rede interna tem o ip 10.0.0.0 ate 10.0.0.255 (mascara 255.255.255.0)
    - o ip da LAN (eth1) do firewall é 10.0.0.1 mascara 255.255.255.0
    - o ip da WAN (eth0) do firewall é 200.200.200.1 mascara 255.255.255.0
    - o gateway padrao do firewal eh 200.200.200.254

    - apenas as maquinas 10.0.0.2,10.0.0.3 e 10.0.0.200 vao ter acesso externo, ou seja internet
    - os serviços que o firewall tem sao: DNS (porta 53 tcp/udp), WWW (porta 80 tcp), SSH (porta 22 tcp)


    Código :
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
     
    iptables -t filter -A INPUT -i lo -j ACCEPT
    iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT
     
    iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
     
    iptables -t filter -P INPUT REJECT
     
    iptables -t filter -A FORWARD -s 10.0.0.2 -i eth1 -o eth0 -j ACCEPT
    iptables -t filter -A FORWARD -d 10.0.0.2 -i eth0 -o eth1 -j ACCEPT
     
    iptables -t filter -A FORWARD -s 10.0.0.3 -i eth1 -o eth0 -j ACCEPT
    iptables -t filter -A FORWARD -d 10.0.0.3 -i eth0 -o eth1 -j ACCEPT
     
    iptables -t filter -A FORWARD -s 10.0.0.200 -i eth1 -o eth0 -j ACCEPT
    iptables -t filter -A FORWARD -d 10.0.0.200 -i eth0 -o eth1 -j ACCEPT
     
    iptables -t filter -P FORWARD REJECT
     
     
    iptables -t nat -A POSTROUTING -s 10.0.0.2 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 10.0.0.3 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 10.0.0.200 -j MASQUERADE


    a principioé isto ai.. nao teste este script, mas acredito nao faltar nada..

  4. Discordo completamente quanto ao uso da target REJECT. Gera tráfego icmp indesejado, podendo muitas vezes ser usado para um DoS. E ela não pode ser usada como política padrão.
    Última edição por PEdroArthurJEdi; 30-08-2009 às 18:56.



  5. rapaz.. tu ta vivendo da era dos links em GIGA.. icmp era perigoso na epoca em que 128k era top de linha !!

    sim, deve-se manter tudo seguro e limitado.. mas.. isso nao vai atrapalhar :P e geralmente quando se tem DROP sao 3 requisicoes .. com reject faz-se uma pq na recebe o unreacheable






Tópicos Similares

  1. iptables / dns
    Por wasley no fórum Servidores de Rede
    Respostas: 2
    Último Post: 25-04-2006, 16:22
  2. DNS + Iptables..
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 21-11-2004, 16:40
  3. Desafio Iptables ( pop e smtp , sem especificar gateway e Dn
    Por Abutre no fórum Servidores de Rede
    Respostas: 4
    Último Post: 24-09-2003, 15:56
  4. Iptables - Regras p/ SMTP, POP3, DNS, WEB
    Por HiDDeN no fórum Servidores de Rede
    Respostas: 2
    Último Post: 04-06-2003, 10:33
  5. Iptables com DNS.
    Por AndrewAmorimdaSilva no fórum Servidores de Rede
    Respostas: 6
    Último Post: 15-01-2003, 13:06

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L