Iptables - ajuda

[Hunday]

Boa tarde senhores, estou com um problema com o iptables, não consigo fazer com que pacotes de um ip chegue até meu servidor do outro lado do firewall. A seguir explicarei melhor.

Tenho um modem adsl, e um firewall (iptables) ligado neste modem. e preciso fazer o encaminhamento de pacotes do ip que vem de fora 155.56.0.0/16 cheguem ao meu servidor que está do outro lado do firewall, que tem o ip de 193.0.0.5

O firewall obviamente tem 2 interfaces de rede, uma na rede da adsl 192.168.1.0, e outra na rede interna dele 193.0.0.0.

O que acontece, usando o tcpdump consigo visualizar que está chegando pacotes até a eth0 do firewall que está ligada direto ao modem ADSL, porem não está passando para a eth1 rede 193.0.0.0 que está o servidor que deve receber os pacotes.


As regras que coloquei no meu iptables

iptables -A FORWARD -s 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A FORWARD -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A POSTROUTING -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A POSTROUTING -s 155.56.0.0/16 -d 193.0.0.5/32 -j ACCEPT

por via das dúvidas tbm coloquei um INPUT e um OUTPUT
iptables -A INPUT -s 155.56.0.0/16 -j ACCEPT
iptables -A OUTPUT -s 155.56.0.0/16 -j ACCEPT

ME AJUDEM POR FAVOR !!!

[Pirigoso]

Boa tarde senhores, estou com um problema com o iptables, não consigo fazer com que pacotes de um ip chegue até meu servidor do outro lado do firewall. A seguir explicarei melhor.

Tenho um modem adsl, e um firewall (iptables) ligado neste modem. e preciso fazer o encaminhamento de pacotes do ip que vem de fora 155.56.0.0/16 cheguem ao meu servidor que está do outro lado do firewall, que tem o ip de 193.0.0.5

O firewall obviamente tem 2 interfaces de rede, uma na rede da adsl 192.168.1.0, e outra na rede interna dele 193.0.0.0.

O que acontece, usando o tcpdump consigo visualizar que está chegando pacotes até a eth0 do firewall que está ligada direto ao modem ADSL, porem não está passando para a eth1 rede 193.0.0.0 que está o servidor que deve receber os pacotes.


As regras que coloquei no meu iptables

iptables -A FORWARD -s 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A FORWARD -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A POSTROUTING -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
iptables -A POSTROUTING -s 155.56.0.0/16 -d 193.0.0.5/32 -j ACCEPT

por via das dúvidas tbm coloquei um INPUT e um OUTPUT
iptables -A INPUT -s 155.56.0.0/16 -j ACCEPT
iptables -A OUTPUT -s 155.56.0.0/16 -j ACCEPT

ME AJUDEM POR FAVOR !!!

e quem disse que vc pode usar 2 classes publicas em modo privado?

[Hunday]

e quem disse que vc pode usar 2 classes publicas em modo privado?

Olá amigo,
Agradeço pelo retorno, mas não entendi o que vc quis dizer. Poderia me explicar melhor ?

[rogeriodj]

Olá amigo,
Agradeço pelo retorno, mas não entendi o que vc quis dizer. Poderia me explicar melhor ?

Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...

[Hunday]

Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...

Hmm, agora eu entendi, vou tentar resolver isto na segunda-feira.

Vlw abraços.

[Hunday]

Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...

Rodrigo, tem alguma sugestão de como devo proceder para resolver o problema ?

[Kernel Panic]

Rodrigo, tem alguma sugestão de como devo proceder para resolver o problema ?

Olá,
Eu acompanhei o tópico, mas confesso que fiquei confuso, vc tem uma rede com uma máscara para 65.534 hosts roteados para uma ADSL? Como chama o seu plano de internet? MEGA BLASTER FULL DESTROYER ADSL de 1Gbit.

Deve estar havendo um pequeno equivoco nestes ranges que você esta tentando utilizar ai.

Seu cenário é o desenhado abaixo, certo?

((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna)

No caso de sim, quantos ip válidos você tem ai neste cenário acima?

Como diria Jack "o estripador", vamos cortar tudo em pequenas partes. ;)

[]'s

KP

[Hunday]

Olá,
Eu acompanhei o tópico, mas confesso que fiquei confuso, vc tem uma rede com uma máscara para 65.534 hosts roteados para uma ADSL? Como chama o seu plano de internet? MEGA BLASTER FULL DESTROYER ADSL de 1Gbit.

Deve estar havendo um pequeno equivoco nestes ranges que você esta tentando utilizar ai.

Seu cenário é o desenhado abaixo, certo?

((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna)

No caso de sim, quantos ip válidos você tem ai neste cenário acima?

Como diria Jack "o estripador", vamos cortar tudo em pequenas partes.
KP

Então colega, tudo isso é da empresa !! sou estagiário de redes.

Sim o cenário que vc imaginou está correto.
((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna) -> host 193.0.0.5 que precisa receber os pacotes.

O meu modem adsl tem o ip 192.168.1.1, o firewall tem 192.168.1.254 na eth0 ou seja está rede é um /24
A outra eth1 do firewall está na rede 193.0.0.1, e o equipamento que precisa receber pacotes dos ips que vem de fora (internet) que citei no 1 post, está com o ip 193.0.0.5, a rede é 193.0.0.0/24

testei com o tcpdump, e os pacotes chegam até a eth0 do firewall, e não passam para a eth1.

[Kernel Panic]

Então colega, tudo isso é da empresa !! sou estagiário de redes.

Sim o cenário que vc imaginou está correto.
((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna) -> host 193.0.0.5 que precisa receber os pacotes.

O meu modem adsl tem o ip 192.168.1.1, o firewall tem 192.168.1.254 na eth0 ou seja está rede é um /24
A outra eth1 do firewall está na rede 193.0.0.1, e o equipamento que precisa receber pacotes dos ips que vem de fora (internet) que citei no 1 post, está com o ip 193.0.0.5, a rede é 193.0.0.0/24

testei com o tcpdump, e os pacotes chegam até a eth0 do firewall, e não passam para a eth1.

Vamos lá, vou tentar te ajudar.

Primeiro quero dizer que existem 3 formas de se resolver uma coisa. O jeito certo, o jeito errado e o meu jeito resolver.

Perguntas:
1- Porque sua rede é: 193.0.0.0/24? tem uma explicação técnica que justifique ou pode ser outra coisa qualquer desde que a bagaça toda funcione bem.

2- A ideia é que alguém de fora possa pela internet usar "algo" que roda na máquina que esta dentro da sua rede. Esse algo é um serviço que roda em um porta e redirecionar somente a porta já resolveria certo? quais as portas que vc quer liberar?

Se aquilo que eu "imagino" que seja estiver correto. Eu faria algo como:

((internet)) --->[(wan) modem (lan IP: 192.168.0.1/30)] ---> [(eth0 IP: 192.168.0.2/30) firewall (eth1 IP: 193.0.0.1/24)]

Aí dependendo das respostas acima eu te passo as regras do iptables.

[]'s

KP

[Hunday]

Vamos lá, vou tentar te ajudar.

Primeiro quero dizer que existem 3 formas de se resolver uma coisa. O jeito certo, o jeito errado e o meu jeito resolver.

Perguntas:
1- Porque sua rede é: 193.0.0.0/24? tem uma explicação técnica que justifique ou pode ser outra coisa qualquer desde que a bagaça toda funcione bem.

2- A ideia é que alguém de fora possa pela internet usar "algo" que roda na máquina que esta dentro da sua rede. Esse algo é um serviço que roda em um porta e redirecionar somente a porta já resolveria certo? quais as portas que vc quer liberar?

Se aquilo que eu "imagino" que seja estiver correto. Eu faria algo como:

((internet)) --->[(wan) modem (lan IP: 192.168.0.1/30)] ---> [(eth0 IP: 192.168.0.2/30) firewall (eth1 IP: 193.0.0.1/24)]

Aí dependendo das respostas acima eu te passo as regras do iptables.

[]'s

KP

Respostas
1- Não sei o porque de ser 193.0.0.0/24 está rede ja existe bem antes deu chegar aqui. O que eu imagino, é que aqui possuimos 2 redes internas. uma na faixa de 192.168.0.0 e outra na 172.... por isso que colocaram essa rede que a rede da ADSL como 193.

2- isso preciso que alguém de fora que vem pela internet, acesse minha maquina que está depois do firewall.

os ips é modem adsl 192.168.0.1 eth0 do firewall 192.168.1.254. eth1 do Firewall 193.0.0.1 Maquina que precisa receber dados de fora, 193.0.0.5.

a porta que vai ser utilizada é a 6070 para entrada, e para saída se não me engano portas aleatórias.

[Kernel Panic]

tenta isso:

iptables -t nat -A PREROUTING -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5

O certo era vc fornecer a porta e o tipo... TCP ou UDP... mas blz...

opa.. se der certo.. faz a dancinha da vitória... =)

[]' s

KP

[Hunday]

tenta isso:

iptables -t nat -A PREROUTING -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5

O certo era vc fornecer a porta e o tipo... TCP ou UDP... mas blz...

opa.. se der certo.. faz a dancinha da vitória... =)

[]' s

KP

Ai é que está a caca amigo. Usei estás regras. as regras que usei.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5
Coloquei tbm um POSTROUTING e um OUTPUT --to-destination
coloquei tbmFORWARD,

e não deu !!! Meu chefe tbm mexeu um monte e não conseguiu...

[Kernel Panic]

Ai é que está a caca amigo. Usei estás regras. as regras que usei.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5
Coloquei tbm um POSTROUTING e um OUTPUT --to-destination
coloquei tbmFORWARD,

e não deu !!! Meu chefe tbm mexeu um monte e não conseguiu...

.

ok vamos pelo básico

IMPORTANTE: O IP válido esta na interface wan do modem e não no firewall. Quando a criatura tentar acessar o seu ip valido porta 6070 é o modem que "atende". Se ele não tiver alguma instrução sobre o que fazer com aquela conexão ele ignora.
Faz um scan no seu ip valido e tenta verificar se ele scaneia o modem ou o firewall.

#nmap <ip válido>

IP Válido no modem.

Precisa rotear o IP válido para dentro, foi por isso que te questionei sobre a gerência do modem.

possibilidade 1: Se você tiver esta gerência muda o modem para bridge porque ai sua interface eth0 do firewall vai receber o IP válido.

possibilidade 2: Se o modem permitir:
2.1- crie uma rota nele apontando para a rede 193.0.0.0/24 gw 192.168.1.254
2.2- crie o redirecionamento da porta 6070 no modem apontando para a máquina 193.0.0.5

Faz os testes ai...

[]'s

KP

[Hunday]

.

ok vamos pelo básico

IMPORTANTE: O IP válido esta na interface wan do modem e não no firewall. Quando a criatura tentar acessar o seu ip valido porta 6070 é o modem que "atende". Se ele não tiver alguma instrução sobre o que fazer com aquela conexão ele ignora.
Faz um scan no seu ip valido e tenta verificar se ele scaneia o modem ou o firewall.

#nmap <ip válido>

IP Válido no modem.

Precisa rotear o IP válido para dentro, foi por isso que te questionei sobre a gerência do modem.

possibilidade 1: Se você tiver esta gerência muda o modem para bridge porque ai sua interface eth0 do firewall vai receber o IP válido.

possibilidade 2: Se o modem permitir:
2.1- crie uma rota nele apontando para a rede 193.0.0.0/24 gw 192.168.1.254
2.2- crie o redirecionamento da porta 6070 no modem apontando para a máquina 193.0.0.5

Faz os testes ai...

[]'s

KP

Sim, eu coloquei para o modem encaminhar tudo 6070 para a eth0 do firewall, se eu entrar no firewall e usar um tcpdump na eth0 ele consegue pegar pacotes com destino 6070, mas na eth1 ele não pega nenhum pacote.

A solução que estamos usando, e deixar a máquina ligada direto no moden adsl, mas assim a segurança é mínima se é que existe..