Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Seguinte, galerinha,
    tenho aqui na empresa onde eu trabalho a seguinte estrutura...

    3 servidores, todos com httpd(iis em 1, apache + php nos outros 2)
    dentro desse servidores, 2 sao linux e neles rodam respectivamente...

    Servidor 1:
    -DNS, HTTPD, FTP

    Servidor 2:
    -DNS, HTTPD, QMAILD, WEBMAIL

    gostaria de saber se no iptables eu posso, falar que se chegar pacotes para o ip x ele vai para o servidor da dmz x e se chegar para o ip y ele vai para a dmz do ip y....
    e tem o terminal service que roda em outro servidor....

    abaixo vou colar o script que fiz baseado em algumas leituras....

    ------- SCRIPT -----------------


    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ipt_limit
    /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
    IPTABLES=`whereis iptables |cut -f 2 -d ´ ´`
    IPEMAIL=1.2.3.4
    IPHTTP=1.2.3.5
    IPWWW=1.2.3.6
    IPTS=1.2.3.7
    HTTP=10.10.0.1
    EMAIL=10.10.0.2

    # Limpando regras
    $IPTABLES -F
    iptables -F
    iptables -t nat -F
    iptables -X
    iptables -t nat -X

    # Negando qualquer acesso ah rede
    $IPTABLES -t filter -P INPUT ACCEPT

    # Permitindo acesso no localhost
    $IPTABLES -t filter -A INPUT -j ACCEPT -i lo
    $IPTABLES -t filter -A INPUT -j ACCEPT -i eth0

    # Permitindo trafegos estabilizados
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
    $IPTABLES -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

    # Liberando acesso as portas
    #########################################################################

    # http - 80
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 80

    # ftp - 21
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 21

    # pop3
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 25

    # smtp
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 110


    # autenticacao - FTP / EMAIL - auth
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport auth

    # dns
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 53
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p udp --dport 53

    # ssh
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 22
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p udp --dport 22

    # terminal services
    $IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state NEW -p tcp --dport 3389


    #########################################################################
    # Rejeitando Pacotes que nao forem de acordo com as regras acima
    $IPTABLES -t filter -A FORWARD -j ACCEPT

    # mask na rede de saida
    $IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0

    # redirecionando pacotes para a dmz
    ###################################

    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPEMAIL -i eth1 -p tcp --dport 110
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPHTTP -i eth1 -p tcp --dport 21
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPEMAIL -i eth1 -p tcp --dport 25
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPTS -i eth1 -p tcp --dport 3389

    #Redirecionamentos de pacotes especificos para cada servidor
    ############################################################
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPEMAIL --dport 80 -j DNAT --to $EMAIL:80
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPHTTP --dport 80 -j DNAT --to $HTTP:80
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPEMAIL --dport 53 -j DNAT --to $EMAIL:53
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPHTTP --dport 53 -j DNAT --to $HTTP:53
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPEMAIL --dport 22 -j DNAT --to $EMAIL:22
    $IPTABLES -A PREROUTING -t nat -p tcp -d $IPHTTP --dport 22 -j DNAT --to $HTTP:22




    alguem pode dar uma luz ae...?????


    URGENTE!!!!!!

    <IMG SRC="images/forum/icons/icon_biggrin.gif">

  2. #2
    Mr_Mind
    não dei uma lida mt profunda no seu script .. mas acho que quem o fez tem conhecimento suficiente para resolver o seu problema q ate&acute; nem e&acute; nada de especial.


    so nao percebi o porque disto:

    # redirecionando pacotes para a dmz
    ###################################

    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPEMAIL -i eth1 -p tcp --dport 110
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPHTTP -i eth1 -p tcp --dport 21
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPEMAIL -i eth1 -p tcp --dport 25
    $IPTABLES -t nat -A PREROUTING -j DNAT --to-dest $IPTS -i eth1 -p tcp --dport 3389

    ok .. acabei de acordar mas mesmo assim ... nao vejo a finalidade!

    ainda assim .. nao vejo como t possa ajudar .. acho que ja tens o q queres ..... <IMG SRC="images/forum/icons/icon_eek.gif">



  3. #3
    Fui eu mesmo que desenvolvi o script.
    Olhe bem o que eu quero... as regras de filtragens eu ja fiz, como vc pode ver ae... estou com uma duvida com relacao ao seguinte problema:

    aqui na empresa tenho 3 servidores de WEB intaum, tenho que distinguir para qual ip a requisicao vai ow vem, ainda nao consegui fazer isso...
    intende?

    seguinte se a requisicao vem pra o servidor webmail.empresa.com.br ele manda para a rede DMZ no ip X
    se vim para www.empresa.com.br ele manda pra o Y e se vim para alunos.empresa.com.br ele manda para o Z...

    essa eh minha duvida
    e outra coisa como eu faco para pode passar os icmps....

    eu naoconsegui... valeu
    <IMG SRC="images/forum/icons/icon_biggrin.gif">

  4. #4
    B4D_D0G
    pq?

    não consigo entender sua estrutura de rede...
    pra quê três servidores http?
    por quê três redes?
    por quê??

    explique sua estrutura de rede por favor! <IMG SRC="images/forum/icons/icon_eek.gif">



  5. #5
    s3ri4l
    Olá,
    resolvi me cadastras na underlinux...
    eu sou o anonimous ae... =)

    OK.
    eh o seguinte,
    eh aqui rodamos
    3 servidores 2 com apache e um com IIS(o site da empresa esta em asp)....
    2 servidores apache ( 1 com webmail ) e o outro com site dos alunos da empresa... intendes?


    <IMG SRC="images/forum/icons/icon_biggrin.gif">






Tópicos Similares

  1. DMZ no ubuntu 11.04 com iptables
    Por eduoliv no fórum Sistemas Operacionais
    Respostas: 5
    Último Post: 03-09-2013, 18:15
  2. Não consigo fazer redirecionamento com iptables
    Por Ganymede no fórum Servidores de Rede
    Respostas: 7
    Último Post: 20-01-2003, 16:47
  3. Navegando na NET na SUB REDE com IPTABLES
    Por soyeu no fórum Servidores de Rede
    Respostas: 0
    Último Post: 10-12-2002, 16:47
  4. como bloquear certos ips com iptables ???//
    Por MAJOR no fórum Servidores de Rede
    Respostas: 2
    Último Post: 20-11-2002, 08:19
  5. Dúvida com IpTables
    Por no fórum Segurança
    Respostas: 6
    Último Post: 29-10-2002, 10:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L