Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    Preciso resover uma questão com urgência, tem Conectiva7 rodando com Iptable, esse servidor tem a seguinte configuração:

    eth0 rede interna 191.161.10.1
    eth1 internet 200.200.200.1


    esta eth1 recebe requisições da internet na porta 3050 e direciona para outro servidor com ip 191.161.10.100 para isso se usa os seguintes comandos:

    # Permite o Acesso ao servidor de Banco de Dados FireBird
    iptables -A FORWARD -p tcp -i eth1 --dport 3050 -d 191.161.10.100 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.100 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3050 -j DNAT --to 191.161.10.100


    Agora vem a questão, tenho mais um servidor 191.161.10.253 que tem outro banco de dados, no firewall coloquei outra ethernet que ficou com eth2 200.200.200.20 preciso direcionar as requisições que chegam nessa placa para este outro servidor (191.161.10.253), a dúvida é, posso duplicar as regras acima mudando paenas os endereços? Tem algum problema por a porta ser a mesma 3050 ?

    Agradeço a ajuda desde já. (urgente)
    _________________
    Marcelo C. Leite
    Consultor de TI
    Atos Network

  2. #2

    Padrão Dica em IPtable

    se vc alterar o endereco nas regras num tem problema nenhum....

  3. #3
    Visitante

    Padrão Dica em IPtable

    Então, eu alterei e não funcionou, existe alguma configuração a mais que eu tenha que fazer, a questão de ter outra ethernet, o iptable reconhece ela sozinho?

  4. #4

    Padrão Dica em IPtable

    Agora vem a questão, tenho mais um servidor 191.161.10.253 que tem outro banco de dados, no firewall coloquei outra ethernet que ficou com eth2 200.200.200.20


    ptables -A FORWARD -p tcp -i eth2 --dport 3050 -d 191.161.10.253 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.253 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 3050 -j DNAT --to 191.161.10.253

    eh assim q ficou? observe que agora usa eth2 e naum eth1

  5. #5
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    Então, fiz isso e não funcionou, lembrando que mantive a regra anterior, pois são dois bancos em servidores diferentes.

    Cada vez que altero essas regras elas se aplicam sozinhas ou tenho que reiniciar o servidor? Existe algum comando para restartar o iptable sem reiniciar a maquina?

    Seria : #service iptable restart

    ???

  6. #6

    Padrão Dica em IPtable

    se for redhat eh service iptables start
    se vc digitou essas regras na mao elas se aplicam sozinhas mas se a maquina for rebootada vc vai perder as regras

  7. #7
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    Caramba... estou surpreso.

    Mesmo eu salvando elas no VI quando reinicio perde? Consegue me explicar porque?

    Na maquina esta instalado o conectiva 7, sabe qual o comando para não perder mais?

    Obrigado desde já.

  8. #8

    Padrão Dica em IPtable

    se vc ta salvando elas em um arquivo por ex:
    /etc/regras
    qdo vc inicializar o sistema vc tem q falar pra ele recarregar elas denovo

    se vc tiver usando RH/conectiva faz assim, aplica suas regras ae executa
    iptables-save > /etc/sysconfig/iptables
    executa o ntsysv e habilita o iptables pra inicar com o boot q ele vai carregar tudo sozinho

    se for outra distro:
    chmod +x /etc/regras
    dentro do /etc/rc.d/rc.local coloca a linha
    /etc/regras

  9. #9
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    Cara, esta tudo certinho, não falta algum NAT ? segue me script abaixo:

    iptables -F
    iptables -t nat -F

    # Regras para Efetivar Log
    iptables -A INPUT -p tcp -i eth1 -m state --state INVALID -j LOG --log-prefix "IPTables: Estado INVALIDO"

    #iptables -A INPUT -p tcp -i eth1 --dport 22 -j LOG --log-prefix "IPTables: SSH"
    #iptables -A FORWARD -p tcp --dport 4662 -j LOG --log-prefix "EMULE.: "
    #iptables -A FORWARD -o eth1 -p tcp --dport 25 -j LOG --log-prefix "SMTP.: "
    #iptables -A FORWARD -i eth0 -p tcp ! --dport 80 -j LOG --log-prefix "monitoramento.: "

    # IP Spoofing protection
    for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
    echo 1 > $i
    done

    # Ignora solicitação de ping
    iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

    # Regras para proibir conexao externa nos determinados servicos
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP
    iptables -A INPUT -i eth1 -p tcp --dport 53 -j DROP
    iptables -A INPUT -i eth1 -p udp --dport 53 -j DROP
    iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
    iptables -A INPUT -i eth1 -p udp --dport 80 -j DROP
    iptables -A INPUT -i eth1 -p tcp --dport 21 -j DROP
    # iptables -A FORWARD -p tcp --dport 4662 -j REJECT #EMULE
    # Determinando informações da placa de rede do speed
    # iptables -A OUTPUT -j ACCEPT

    # Permitir navegacao sem proxy para estas maquinas
    iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT

    # Libera acesso a envio e recebimento de email
    iptables -A FORWARD -p tcp -i eth0 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -i eth0 --dport 110 -j ACCEPT

    # Liberar Acesso ao banco(instituição financeira) para as seguintes máquinas
    iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT

    # Permite o Acesso ao servidor de Banco de Dados FireBird
    iptables -A FORWARD -p tcp -i eth1 --dport 3050 -d 191.161.10.100 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.100 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3050 -j DNAT --to 191.161.10.100

    #Atos
    iptables -A FORWARD -p tcp -i 200.205.194.11 --dport 3050 -d 191.161.10.253 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.253 --sport 3050 -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i 200.205.194.11 --dport 3050 -j DNAT --to 191.161.10.253

    # Bloquear navegacao sem proxy para as demais maquinas
    iptables -A FORWARD -p tcp -i eth0 -j REJECT
    iptables -t nat -A POSTROUTING -j MASQUERADE

  10. #10

    Padrão Dica em IPtable

    olha o erro aki;
    iptables -t nat -A PREROUTING -p tcp -i 200.205.194.11 --dport 3050 -j DNAT --to 191.161.10.253

    num eh -i 200.205.194.11 e sim -d 200.205.194.11
    e muda isso aki tb:
    iptables -A FORWARD -p tcp -i eth0 -j REJECT
    iptables -t nat -A POSTROUTING -j MASQUERADE

    pra
    iptables -A FORWARD -p tcp -i eth0 --dport 80 -j REJECT
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

  11. #11
    Visitante

    Padrão Dica em IPtable

    Continua não funcionando

    Por acaso

    iptables -A FORWARD -p tcp -i eth0 --dport 80 -j REJECT
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

    no --dport 80 não seria 3050 ? que é a porta de meu serviço?

  12. #12

    Padrão Dica em IPtable

    naum isso eh pra ninguem sair por http sem proxy

  13. #13

    Padrão Dica em IPtable

    Faz o seguinte vamos refazer esse firewall q eh mais facil
    primeiro libere TUDO, deixa tudo como accept e crie apenas as suas regras de redirecionamento

    iptables -t nat -A PREROUTING -p tcp -d IP_EXTERNO1 --dport 3050 -j DNAT --to IP_INTERNO1
    iptables -t nat -A PREROUTING -p tcp -d IP_EXTERNO2 --dport 3050 -j DNAT --to IP_INTERNO2
    iptables -t nat -A POSTROUTING -s REDE_INTERNA -j MASQUERADE

    se isso funcionar depois vc vai criando as regras de bloqueio

  14. #14
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    Boa noite 1c3_m4n

    Em primeiro lugar agradeço sua ajuda que tem sido muita, sou novato em Linux e este trabalho vai me ajudar a alavancar muita coisa, não posso mais desisistir, a situação é a seguinte, peguei esse firewall pronto, estas regras estão dentro do diretório /etc/rc.d/init.d/regras

    Quero saber o seguinte, se eu apagar tudo o que tem nesta regra o que acontece? para de funcionar o firewall ? se eu colocar só direcionamento vai funcionar ?

  15. #15

    Padrão Dica em IPtable

    naum precisa apagar apenas faca
    /etc/rc.d/init.d/iptables stop
    e digite pela linha de comando as regras q eu passei no post anterior

  16. #16
    Visitante

    Padrão Dica em IPtable

    Amigo, dou o comando #iptables stop e da a seguinte mensagem:

    BAD ARGUMENT

    a versão do iptables é v1.2.2 seria por isso?

  17. #17

    Padrão Dica em IPtable

    limpa as regras com iptables -f

  18. #18

    Padrão Dica em IPtable

    Citação Postado originalmente por Anonymous
    Amigo, dou o comando #iptables stop e da a seguinte mensagem:

    BAD ARGUMENT

    a versão do iptables é v1.2.2 seria por isso?
    faz oq o Jim falou e atualiza esse iptables cara

  19. #19
    Atos_Network
    Visitante

    Padrão Dica em IPtable

    da "no command specified"

  20. #20
    Atos_network
    Visitante

    Padrão Dica em IPtable

    Até gostaria da zerar essa maquina e fazer novamente, mas ela esta tiva e o dono não quer qazer isso.

    Me expliquem uma coisa, quando dou o comando iptables -F não mostra nenhuma regra criada. Quer dizer que não esta entrando as regras que estou inserindo?