+ Responder ao Tópico



  1. #1

    Padrão IPtables help urgente

    Tudo bem, galera;

    Tenho um CL9 com iptables istalado, mas não consigo fazer a parte de NAT funcionar.

    No CL8 eu usava o mesmo script e nunca deu problemas migrei para o CL9 e começu a zica.

    Se eu retirar a regra $IPT -t nat -A POSTROUTING -s $REDE -o eth1 -j SNAT --to 200.200.200.200 funciona e seu deixar ele retorna a seguinte mensagem:

    iptables: invalid argument

    Se eu tirar o --to e colocar --to-source ele da o mesmo erro.

    Minha versão do iptables é: 1.2.6

    Essa mesma regra funcionava no CL8.

    Alguém poderia me orientar.?

    Obrigado

    Osney.

  2. #2

    Padrão IPtables help urgente

    digite a regra na linha de comando ao inves de usar seu script, oq acontece se vc fizer isso?

  3. #3
    clzago
    Visitante

    Padrão IPtables help urgente

    ola, primeiramente qual interface esta ligada a internet eth1 ou eth0 ??


    a regra seria iptables -t nat -A POSTROUTING -s $REDE -o eth(X) -j MASQUERADE...

    deixe assim, nao precisa especificar tanto, voce tera problemas depois,...

    obs: X pode ser eth1 ou eth0....

    meu msn é [email protected]

  4. #4

    Padrão IPtables help urgente

    na verdade tenho duas regras iguais para dois endereços de ip externo na eth1 e eth2, pois tenho dois links com a internet.

    $IPT -t nat -A POSTROUTING -s $REDE -o eth1 -j SNAT --to 200.200.200.200

    $IPT -t nat -A POSTROUTING -s $REDE -o eth2 -j SNAT --to 300.300.300.300

    e seu der o commando na mão iptables -t nat -A POSTROUTING -s ipdarede -o ethx -j SNAT --to 200.200.200.200 ele retorna.

    iptables: argument invalid.

  5. #5

    Padrão IPtables help urgente

    Bom já sabemos que não é erro do script, a regra ta certa eh essa mesmo, seu iptables está ativo no kernel ou ta por modulos?

  6. #6
    nitronet
    Visitante

    Padrão IPtables

    :twisted: man vc carregou os modulos no linuxcarregeue eles com o modprobe que com certeza vai funcionar

    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat
    ou modprobe iptable_nat


    []´s

    Fabiano Varotto

  7. #7

    Padrão IPtables help urgente

    já está tudo carregado no script (ip_conntrack, ip_conntrack_ftp, ip_nat, iptable_nat)

    agora se ele está ativo no kernel ou por modulos eu naum sei dizer, só sei dizer que para instala-lo usei o apt e para coloca-lo na inicialização coloquei uma chamada para o script no rc.local.[/list]

  8. #8

    Padrão IPtables help urgente

    ele ta subindo os modulos corretamente ou ta dando algum warning?

  9. #9

    Padrão IPtables help urgente

    sobe normalmente já até atualizei para o iptables 1.2.9 e continua dando o mesmo pau.

    olhem um pedaço do meu script.

    # CARREGANDO MODULOS IPTABLES
    MOD=/sbin/modprobe
    $MOD ip_conntrack
    $MOD ip_conntrack_ftp
    $MOD ipt_LOG
    $MOD iptable_nat
    $MOD ip_nat_ftp

    # HABILITANDO IP_FORWAR
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # ZERA REGRAS
    $IPT -t filter -F
    $IPT -t filter -Z
    $IPT -t filter -X
    $IPT -t nat -F
    $IPT -t nat -Z
    $IPT -t nat -X

    # DEFINE POLÍTICAS NAT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT

    # DEFINE POLÍTICA DE INPUT, OUTPUT E FORWARD
    $IPT -t filter -P INPUT DROP
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t filter -P FORWARD DROP

    # REGRAS NAT
    $IPT -t nat -A POSTROUTING -s $REDE -o eth1 -j SNAT --to-source 200.200.200.200
    $IPT -t nat -A POSTROUTING -s $REDE -o eth2 -j SNAT --to-source 200.200.200.200

  10. #10

    Padrão IPtables help urgente

    a principio eu achei q era algum problema com a variavel $REDE mas se vc digitou ele na mao e deu o mesmo erro nao sei oq pode ser se os modulos estao subindo normalmente num sei oq pensar

  11. #11

    Padrão IPtables help urgente

    esses são os módulos que estão carregados.

    Module Size Used by Not tainted
    ipt_MASQUERADE 1976 0
    ipt_state 1016 2 (autoclean)
    ipt_unclean 7288 1 (autoclean)
    ipt_limit 1464 3 (autoclean)
    iptable_filter 2284 1 (autoclean)
    ip_nat_ftp 3696 0 (unused)
    iptable_nat 19160 1 [ipt_MASQUERADE ip_nat_ftp]
    ipt_LOG 3928 27
    ip_tables 13432 9 [ipt_MASQUERADE ipt_state ipt_unclean ipt_limit iptable_filter iptable_nat ipt_LOG]
    ip_conntrack_ftp 4816 1
    ip_conntrack 24704 3 [ipt_MASQUERADE ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]

  12. #12

    Padrão IPtables help urgente

    se eu coloca a regra só até SNAT ele diz que eu tenho que colocar o --to-source.

    $IPT -t nat -A POSTROUTING -s $REDE -o eth1 -j SNAT

    #./firewallstart
    iptables v1.2.9: You must specify --to-source

    mas se eu coloca a regra com o --to ou --to souce mais o ip ele dá pau.

    #./firewallstart
    iptables: argument invalid

  13. #13

    Padrão IPtables help urgente

    vc tem certeza q eh nessa linha q ele ta dando esse erro?

  14. #14
    Xlab
    Visitante

    Padrão IPtables help urgente

    Ola amigo, a solucao eh simples apenas atualize seu kernel para ultima versao disponivel no site da conetiva. O problema esta na compilacao dos modulos do kernel, o kernel que vem com o conectiva 9 por padrao esta compilado para o iptables 1.2.8 se vc atualizou seu iptables para a versao 1.2.9 vc deve atualizar seu o kernel para que funcione normalmente.

    []'s

  15. #15

    Padrão IPtables help urgente

    Digitou isso?
    # echo 1 > /proc/sys/net/ipv4/ip_forward

    ?

    Abraços!

  16. #16
    pflamellas
    Visitante

    Padrão IPtables help urgente

    Amigo,
    vc não tah carregando o iptables....
    faltou...
    IPT=/usr/sbin/iptables
    ou IPT =/sbin/iptables

  17. #17

    Padrão IPtables help urgente

    Verifique se nao eh o kernel que ta redondo ou a versao do iptables, eu tive um bronca uma vez que eu dei update no kernel mas nao dei update no iptables, ai a parte do MASQUERADE nao funcionou mais.. ou seja o SNAT, verifique se o par iptables userland e kernel estao certos.