+ Responder ao Tópico



  1. #1
    Ana
    Visitante

    Padrão Ip fixo atrás de um firewall.

    Olá!

    Resumo:
    Como faço para receber conexões em um máquina que tem ip fixo (200.0.0.1) e está está atrás de um servidor roteador/firewall ?

    Toda a história:
    Tenho na minha empresa o serviço IP TURBO. Esse serviço vai direto para um servidor roteador/firewall que por sua vez vai para o hub quee dispobiliza para os demais computadores. Num desses computadores estou configurando um servidor de web e dns. Como tenho mais dois 2 fixo para usar e não tenho máquina, vou montar tudo em uma máquina só. Quero saber como fazer que quem esta fora da nossa rede (internet) consiga acessar o nosso site?

    Obrigada.

  2. #2

    Padrão Ip fixo atrás de um firewall.

    no micro firewall você terá que usar o iptables pra redirecionar o tráfego vindo pela porta dos servidores que vc quer usar pra outra máquina, que efetivamente estará rodando esses serviços.

    Qualquer dúvida entre em contato comigo pelo msn.



  3. #3
    Ana
    Visitante

    Padrão Ip fixo atrás de um firewall.

    Oi, Gustavo.

    Obrigada pela dica, mas voce poderia em dar um exemplo ?

    Obs: aqui na empresa nao podemos usar o MSN

    Obrigada!

  4. #4

    Padrão Ip fixo atrás de um firewall.

    Ola

    No caso como vc tem um IP válido, não precisa redirecionar basta no seu firewall ter permissão no forward para esta rede. Exemplo:

    iptables -A FORWARD -s 200.XXX.XXX.XXX/27 -j ACCEPT
    iptables -A FORWARD -d 200.XXX.XXX.XXX/27 -j ACCEPT

    t+



  5. #5

    Padrão Ip fixo atrás de um firewall.

    A dica do amigo BAUER e bem simples e legal

    Mas se vc já esta protegido por um Firewall vc pode abrir somente as portas necessarios pra os serviços que vc quer subir é uma dica de seguranço legal ao meu ver.
    Veja o Script abaixo

    #/bin/bash

    #Limpa todas as regras
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD

    #Politica
    iptables -P FORWARD ACCEPT
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT

    #Ativa Forward
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Numero max. de coneccao
    echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max

    #Proibir ping
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    #forward
    iptables -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/s -j LOG --log-prefix "NMAP"
    iptables -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/s -j DROP
    iptables -A FORWARD -d 200.xxx.xxx.xxx -p tcp --dport 137:139 -j DROP
    iptables -A FORWARD -m multiport -p tcp --dport 12345,12346,20034,31337,6000,6670,6711,6712,6713 -j LOG --log-prefix "NetBUS BO Xwin Deepthroaf "
    iptables -A FORWARD -s 192.168.0.0/24 -m multiport -p tcp --dport 12345,12346,20034,31337,6000,6670,6711,6712,6713 -j DROP

    #Compartilha a internet
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

    ##Redirecionamento

    #Mysql
    iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 3306 -j LOG --log-prefix "Mysql Interno"
    iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.1 --dport 3306 -j DNAT --to 192.168.0.251
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3306 -j LOG --log-prefix "Mysql externo"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3306 -j DNAT --to 192.168.0.251

    #Http
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 80 -j LOG --log-prefix "Http acesso"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 80 -j DNAT --to 192.168.0.251

    #ssh
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 22 -j LOG --log-prefix "SSH acesso"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 22 -j DNAT --to 192.168.0.251

    #ftp
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 21 -j LOG --log-prefix "Ftp acessp"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 21 -j DNAT --to 192.168.0.251
    iptables -t nat -A PREROUTING -p udp -d 200.xxx.xxx.xxx --dport 21 -j DNAT --to 192.168.0.251
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 20 -j DNAT --to 192.168.0.251
    iptables -t nat -A PREROUTING -p udp -d 200.xxx.xxx.xxx --dport 20 -j DNAT --to 192.168.0.251

    #DNS
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 53 -j LOG --log-prefix "DNS acesso"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 53 -j DNAT --to 192.168.0.251
    iptables -t nat -A PREROUTING -p udp -d 200.xxx.xxx.xxx --dport 53 -j DNAT --to 192.168.0.251

    #SMTP
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 25 -j LOG --log-prefix "SMTP acesso"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 25 -j DNAT --to 192.168.0.251

    #POP3
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 110 -j LOG --log-prefix "POP acesso"
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 110 -j DNAT --to 192.168.0.251