+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Iptables - Forward Vs. Nat

    Olá pessoal da Underlinux...

    gostaria de pedir uma ajuda com o iptables, se possível é claro...

    eu tenho algumas regras que funcionam perfeitamente (quase) com o iptables, que eu necessito alterar, mas quando resolvo um problema encontro outro.

    Com estas políticas padrão:

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    toda máquina que digitar \\192.168.1.20 no ambiente de rede consegue acessar essa máquina, resolvi esse problema mudando o FORWARD ACCEPT pra FORWARD DROP...

    aí entra o outro problema:

    a máquina 192.168.1.20 navega (navegava) sem proxy com a seguinte regra:

    iptables -t nat -A POSTROUTING -s 192.168.1.20 -o eth1 -j MASQUERADE

    porém quando eu mudo o FORWARD ACCEPT para o FORWARD DROP isso não é mais possível, e realmente eu preciso que essa máquina não passe pelo proxy mas também não esteja visível a outras redes.

    Se alguém puder colaborar, agradeço desde já...
    Estarei disposto a mais esclarecimentos se presisarem.

  2. #2

    Padrão Iptables - Forward Vs. Nat

    vc precisa dessa regra tbm

    iptables -A FORWARD -s 192.168.1.20/32 -j ACCEPT

    altere sua regra

    iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth1 -j MASQUERADE

    procure fechar as mascaras

    acho q vc devia dar uma lida em http://iptables.under-linux.org/

    []'s

  3. #3
    Visitante

    Padrão Iptables - Forward Vs. Nat

    valew demiurgo vou testar e já te mando a resposta

  4. #4
    Visitante

    Padrão Iptables - Forward Vs. Nat

    cara, quanto a qustão das máscaras foi um erro meu, mas elas estão todas fechadas (192.168.1.20/24), mas a nova regra não funcionou, eu vou fazer mais uns testes amanhã e esperar pra ver se alguém tem mais alguma sugestão...

    Grato pela ajuda

  5. #5

    Padrão Iptables - Forward Vs. Nat

    192.168.1.20/24 nao define nenhuma rede, apenas indica que o host .20 pertece a rede 192.168.1.0

    quando voce for se referir a uma rede por favor use o ip de subrede ... eh o correto a se fazer, no seu caso:

    192.168.1.0/24 ou /255.255.255.0

  6. #6

    Padrão Iptables - Forward Vs. Nat

    192.168.1.20/32 seria soh pra um host

    lembra d colocar a regra d DROP antes da ACCEPT

    ou tenta inverter a ordem... sei lah... deve ser isso!!!

    []'s

  7. #7
    Visitante

    Padrão Iptables - Forward Vs. Nat

    A idéia é exatamente esta, liberar somente a uma máquina, não para um segmento de rede completo, mas não adianta eu colocar a accept antes pq a FORWARD é uma regra padrão (-P), eu pensei em deixar como FORWARD ACCEPT e depois ir fechando origem e edetino... concertexa é bem mais trabalhoso, mas por enquanto é o que possa resolver meu problema.

    espero que funcione...
    valew pelas dicas