+ Responder ao Tópico



  1. #1

    Padrão Iptables - ajuda

    Boa tarde senhores, estou com um problema com o iptables, não consigo fazer com que pacotes de um ip chegue até meu servidor do outro lado do firewall. A seguir explicarei melhor.

    Tenho um modem adsl, e um firewall (iptables) ligado neste modem. e preciso fazer o encaminhamento de pacotes do ip que vem de fora 155.56.0.0/16 cheguem ao meu servidor que está do outro lado do firewall, que tem o ip de 193.0.0.5

    O firewall obviamente tem 2 interfaces de rede, uma na rede da adsl 192.168.1.0, e outra na rede interna dele 193.0.0.0.

    O que acontece, usando o tcpdump consigo visualizar que está chegando pacotes até a eth0 do firewall que está ligada direto ao modem ADSL, porem não está passando para a eth1 rede 193.0.0.0 que está o servidor que deve receber os pacotes.


    As regras que coloquei no meu iptables

    iptables -A FORWARD -s 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A FORWARD -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A POSTROUTING -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A POSTROUTING -s 155.56.0.0/16 -d 193.0.0.5/32 -j ACCEPT

    por via das dúvidas tbm coloquei um INPUT e um OUTPUT
    iptables -A INPUT -s 155.56.0.0/16 -j ACCEPT
    iptables -A OUTPUT -s 155.56.0.0/16 -j ACCEPT

    ME AJUDEM POR FAVOR !!!

  2. #2

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Hunday Ver Post
    Boa tarde senhores, estou com um problema com o iptables, não consigo fazer com que pacotes de um ip chegue até meu servidor do outro lado do firewall. A seguir explicarei melhor.

    Tenho um modem adsl, e um firewall (iptables) ligado neste modem. e preciso fazer o encaminhamento de pacotes do ip que vem de fora 155.56.0.0/16 cheguem ao meu servidor que está do outro lado do firewall, que tem o ip de 193.0.0.5

    O firewall obviamente tem 2 interfaces de rede, uma na rede da adsl 192.168.1.0, e outra na rede interna dele 193.0.0.0.

    O que acontece, usando o tcpdump consigo visualizar que está chegando pacotes até a eth0 do firewall que está ligada direto ao modem ADSL, porem não está passando para a eth1 rede 193.0.0.0 que está o servidor que deve receber os pacotes.


    As regras que coloquei no meu iptables

    iptables -A FORWARD -s 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A FORWARD -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A POSTROUTING -d 155.56.0.0/16 -s 193.0.0.5/32 -j ACCEPT
    iptables -A POSTROUTING -s 155.56.0.0/16 -d 193.0.0.5/32 -j ACCEPT

    por via das dúvidas tbm coloquei um INPUT e um OUTPUT
    iptables -A INPUT -s 155.56.0.0/16 -j ACCEPT
    iptables -A OUTPUT -s 155.56.0.0/16 -j ACCEPT

    ME AJUDEM POR FAVOR !!!
    e quem disse que vc pode usar 2 classes publicas em modo privado?

  3. #3

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Pirigoso Ver Post
    e quem disse que vc pode usar 2 classes publicas em modo privado?
    Olá amigo,
    Agradeço pelo retorno, mas não entendi o que vc quis dizer. Poderia me explicar melhor ?

  4. #4

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Hunday Ver Post
    Olá amigo,
    Agradeço pelo retorno, mas não entendi o que vc quis dizer. Poderia me explicar melhor ?
    Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...

  5. #5

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por rogeriodj Ver Post
    Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...
    Hmm, agora eu entendi, vou tentar resolver isto na segunda-feira.

    Vlw abraços.

  6. #6

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por rogeriodj Ver Post
    Vc esta usando ips publicos/validos, na sua rede interna, então seu redirecionamento esta indo pra net, pois esses ips ai pertencem a alguem, use ips privados na sua rede interna...
    Rodrigo, tem alguma sugestão de como devo proceder para resolver o problema ?

  7. #7

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Hunday Ver Post
    Rodrigo, tem alguma sugestão de como devo proceder para resolver o problema ?
    Olá,
    Eu acompanhei o tópico, mas confesso que fiquei confuso, vc tem uma rede com uma máscara para 65.534 hosts roteados para uma ADSL? Como chama o seu plano de internet? MEGA BLASTER FULL DESTROYER ADSL de 1Gbit.

    Deve estar havendo um pequeno equivoco nestes ranges que você esta tentando utilizar ai.

    Seu cenário é o desenhado abaixo, certo?

    ((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna)

    No caso de sim, quantos ip válidos você tem ai neste cenário acima?

    Como diria Jack "o estripador", vamos cortar tudo em pequenas partes. ;)

    []'s

    KP

  8. #8

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Kernel Panic Ver Post
    Olá,
    Eu acompanhei o tópico, mas confesso que fiquei confuso, vc tem uma rede com uma máscara para 65.534 hosts roteados para uma ADSL? Como chama o seu plano de internet? MEGA BLASTER FULL DESTROYER ADSL de 1Gbit.

    Deve estar havendo um pequeno equivoco nestes ranges que você esta tentando utilizar ai.

    Seu cenário é o desenhado abaixo, certo?

    ((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna)

    No caso de sim, quantos ip válidos você tem ai neste cenário acima?

    Como diria Jack "o estripador", vamos cortar tudo em pequenas partes.
    KP
    Então colega, tudo isso é da empresa !! sou estagiário de redes.

    Sim o cenário que vc imaginou está correto.
    ((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna) -> host 193.0.0.5 que precisa receber os pacotes.

    O meu modem adsl tem o ip 192.168.1.1, o firewall tem 192.168.1.254 na eth0 ou seja está rede é um /24
    A outra eth1 do firewall está na rede 193.0.0.1, e o equipamento que precisa receber pacotes dos ips que vem de fora (internet) que citei no 1 post, está com o ip 193.0.0.5, a rede é 193.0.0.0/24

    testei com o tcpdump, e os pacotes chegam até a eth0 do firewall, e não passam para a eth1.

  9. #9

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Hunday Ver Post
    Então colega, tudo isso é da empresa !! sou estagiário de redes.

    Sim o cenário que vc imaginou está correto.
    ((internet))---->[(wan) modem (lan)]---->[(eth0) firewall (eth1)]--->(rede interna) -> host 193.0.0.5 que precisa receber os pacotes.

    O meu modem adsl tem o ip 192.168.1.1, o firewall tem 192.168.1.254 na eth0 ou seja está rede é um /24
    A outra eth1 do firewall está na rede 193.0.0.1, e o equipamento que precisa receber pacotes dos ips que vem de fora (internet) que citei no 1 post, está com o ip 193.0.0.5, a rede é 193.0.0.0/24

    testei com o tcpdump, e os pacotes chegam até a eth0 do firewall, e não passam para a eth1.
    Vamos lá, vou tentar te ajudar.

    Primeiro quero dizer que existem 3 formas de se resolver uma coisa. O jeito certo, o jeito errado e o meu jeito resolver.

    Perguntas:
    1- Porque sua rede é: 193.0.0.0/24? tem uma explicação técnica que justifique ou pode ser outra coisa qualquer desde que a bagaça toda funcione bem.

    2- A ideia é que alguém de fora possa pela internet usar "algo" que roda na máquina que esta dentro da sua rede. Esse algo é um serviço que roda em um porta e redirecionar somente a porta já resolveria certo? quais as portas que vc quer liberar?

    Se aquilo que eu "imagino" que seja estiver correto. Eu faria algo como:

    ((internet)) --->[(wan) modem (lan IP: 192.168.0.1/30)] ---> [(eth0 IP: 192.168.0.2/30) firewall (eth1 IP: 193.0.0.1/24)]

    Aí dependendo das respostas acima eu te passo as regras do iptables.

    []'s

    KP

  10. #10

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Kernel Panic Ver Post
    Vamos lá, vou tentar te ajudar.

    Primeiro quero dizer que existem 3 formas de se resolver uma coisa. O jeito certo, o jeito errado e o meu jeito resolver.

    Perguntas:
    1- Porque sua rede é: 193.0.0.0/24? tem uma explicação técnica que justifique ou pode ser outra coisa qualquer desde que a bagaça toda funcione bem.

    2- A ideia é que alguém de fora possa pela internet usar "algo" que roda na máquina que esta dentro da sua rede. Esse algo é um serviço que roda em um porta e redirecionar somente a porta já resolveria certo? quais as portas que vc quer liberar?

    Se aquilo que eu "imagino" que seja estiver correto. Eu faria algo como:

    ((internet)) --->[(wan) modem (lan IP: 192.168.0.1/30)] ---> [(eth0 IP: 192.168.0.2/30) firewall (eth1 IP: 193.0.0.1/24)]

    Aí dependendo das respostas acima eu te passo as regras do iptables.

    []'s

    KP
    Respostas
    1- Não sei o porque de ser 193.0.0.0/24 está rede ja existe bem antes deu chegar aqui. O que eu imagino, é que aqui possuimos 2 redes internas. uma na faixa de 192.168.0.0 e outra na 172.... por isso que colocaram essa rede que a rede da ADSL como 193.

    2- isso preciso que alguém de fora que vem pela internet, acesse minha maquina que está depois do firewall.

    os ips é modem adsl 192.168.0.1 eth0 do firewall 192.168.1.254. eth1 do Firewall 193.0.0.1 Maquina que precisa receber dados de fora, 193.0.0.5.

    a porta que vai ser utilizada é a 6070 para entrada, e para saída se não me engano portas aleatórias.

  11. #11

    Padrão Re: Iptables - ajuda

    tenta isso:

    iptables -t nat -A PREROUTING -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5

    O certo era vc fornecer a porta e o tipo... TCP ou UDP... mas blz...

    opa.. se der certo.. faz a dancinha da vitória... =)

    []' s

    KP

  12. #12

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Kernel Panic Ver Post
    tenta isso:

    iptables -t nat -A PREROUTING -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5

    O certo era vc fornecer a porta e o tipo... TCP ou UDP... mas blz...

    opa.. se der certo.. faz a dancinha da vitória... =)

    []' s

    KP
    Ai é que está a caca amigo. Usei estás regras. as regras que usei.

    iptables -t nat -A PREROUTING -p tcp -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5
    Coloquei tbm um POSTROUTING e um OUTPUT --to-destination
    coloquei tbmFORWARD,

    e não deu !!! Meu chefe tbm mexeu um monte e não conseguiu...

  13. #13

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Hunday Ver Post
    Ai é que está a caca amigo. Usei estás regras. as regras que usei.

    iptables -t nat -A PREROUTING -p tcp -d 192.168.1.254 --dport 6070 -j DNAT --to-destination 193.0.0.5
    Coloquei tbm um POSTROUTING e um OUTPUT --to-destination
    coloquei tbmFORWARD,

    e não deu !!! Meu chefe tbm mexeu um monte e não conseguiu...
    .

    ok vamos pelo básico

    IMPORTANTE: O IP válido esta na interface wan do modem e não no firewall. Quando a criatura tentar acessar o seu ip valido porta 6070 é o modem que "atende". Se ele não tiver alguma instrução sobre o que fazer com aquela conexão ele ignora.
    Faz um scan no seu ip valido e tenta verificar se ele scaneia o modem ou o firewall.

    #nmap <ip válido>

    IP Válido no modem.

    Precisa rotear o IP válido para dentro, foi por isso que te questionei sobre a gerência do modem.

    possibilidade 1: Se você tiver esta gerência muda o modem para bridge porque ai sua interface eth0 do firewall vai receber o IP válido.

    possibilidade 2: Se o modem permitir:
    2.1- crie uma rota nele apontando para a rede 193.0.0.0/24 gw 192.168.1.254
    2.2- crie o redirecionamento da porta 6070 no modem apontando para a máquina 193.0.0.5

    Faz os testes ai...

    []'s

    KP

  14. #14

    Padrão Re: Iptables - ajuda

    Citação Postado originalmente por Kernel Panic Ver Post
    .

    ok vamos pelo básico

    IMPORTANTE: O IP válido esta na interface wan do modem e não no firewall. Quando a criatura tentar acessar o seu ip valido porta 6070 é o modem que "atende". Se ele não tiver alguma instrução sobre o que fazer com aquela conexão ele ignora.
    Faz um scan no seu ip valido e tenta verificar se ele scaneia o modem ou o firewall.

    #nmap <ip válido>

    IP Válido no modem.

    Precisa rotear o IP válido para dentro, foi por isso que te questionei sobre a gerência do modem.

    possibilidade 1: Se você tiver esta gerência muda o modem para bridge porque ai sua interface eth0 do firewall vai receber o IP válido.

    possibilidade 2: Se o modem permitir:
    2.1- crie uma rota nele apontando para a rede 193.0.0.0/24 gw 192.168.1.254
    2.2- crie o redirecionamento da porta 6070 no modem apontando para a máquina 193.0.0.5

    Faz os testes ai...

    []'s

    KP

    Sim, eu coloquei para o modem encaminhar tudo 6070 para a eth0 do firewall, se eu entrar no firewall e usar um tcpdump na eth0 ele consegue pegar pacotes com destino 6070, mas na eth1 ele não pega nenhum pacote.

    A solução que estamos usando, e deixar a máquina ligada direto no moden adsl, mas assim a segurança é mínima se é que existe..