Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #11
    gmlinux
    Mais um detalhe, quando a máquina é o gateway, ou seja, os pacotes necessariamente passam por ela, não é necessário PRE e POST para fazer ida e volta de uma mesma conexão, esplicando melhor:

    Conexões iniciadas pelo mundo: No PREROUTING da interface internet, fazemos DNAT para os servers, o kernel cria uma tabela, quando um pacote relacionado a esta conexão retornar da máquina interna, ele sera automaticamente alterado. Assim as conexões iniciadas pelo mundo vão funcionar.

    No caso da conexão gerado pelas máquinas internas: Se são um dos servidores que "tem" ip válido, deve haver uma regra de SNAT no POSTROUTING da interface internet, uma cada máquina server de internet, associando seu ip interno a um ip externo. Para as demais máquinas (clientes da internet), faça SNAT (preferencial sobre MASQUERADE quando o ip é fixo) com o ip válido do firewall. Quando pacotes relacionados a estas conexões retornam, a tabela do kernel faz a conversão automática.

  2. Perfeito, mas como ele vai ter varios ips validos na mesma placa ai vai precisar do SNAT neh? caso contrario ele vai usar sempre a rota q tiver como default no gw



  3. #13
    gmlinux
    Os vários IPs na interface internet do firewall permitem que os clientes de internet cheguem até o firewall, no firewall, especifica-se para cada IP válido o seu correspondente interno via DNAT no PREROUTING.
    Para as conexões que saem da rede interna, se são iniciadas por um dos servers, deve haver um SNAT no POSTROUTING da interface internet do firewall para cada server (IP_VALIDO_Q_VC_QUER correspondendo a cada server) e um SNAT geral onde o IP_VALIDO_Q_VC_QUER seria preferencialmente o do próprio firewall.
    Exemplo:
    Rede interna: 10.0.0.0/24, servers www:10.0.0.1 smtp:10.0.0.2 NS1:10.0.0.3
    Rede externa: 200.200.200.0/29, firewall:200.200.200.1, www:200.200.200.2 smtp: 200.200.200.3 NS1:200.200.200.4 (na verdade aliases da interface internet do firewall).

    PRE: source: 0/0 destino: 200.200.200.2 DNAT for:10.0.0.1
    PRE: source: 0/0 destino: 200.200.200.3 DNAT for:10.0.0.2
    PRE: source: 0/0 destino: 200.200.200.4 DNAT for:10.0.0.3
    POST: source: 10.0.0.1 destino: 0/0 SNAT 200.200.200.2
    POST: source: 10.0.0.2 destino: 0/0 SNAT 200.200.200.3
    POST: source: 10.0.0.3 destino: 0/0 SNAT 200.200.200.4
    POST: source: 10.0.0.0/24 destino: 0/0 SNAT 200.200.200.1

    Não coloquei as regras para ficar fácil entender a idéia.
    Cuidado com a ordem das regras

  4. #14
    mr.gam
    pessoal, fico muito grato pela grande ajuda q estao me dando,
    pesso q naum me levem a mal mas resolvi passar o fire pra vc´s vere, como esta, blz!
    Realmente estou precisando urgente deste procedimento pois j´s engrossei e naum acho a saida.

    entao tá aí.

    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *nat
    :PREROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    # DNS Server PRE
    -A PREROUTING -d 10.30.1.1 -j DNAT --to-destination 10.30.2.1
    # DNAT Valido
    -A PREROUTING -d 200.?.?.? -j DNAT --to-destination 192.168.0.2
    # Redirect Squid
    -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
    # Masq IP
    -A POSTROUTING -o eth1 -j MASQUERADE
    # DNS Server POST
    -A POSTROUTING -s 10.30.2.1 -j SNAT --to-source 10.30.1.1
    # SNAT Valido
    -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source 200.?.?.?
    COMMIT
    # Completed on Mon Dec 15 20:50:37 2003
    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *mangle
    :PREROUTING ACCEPT [9:1243]
    :INPUT ACCEPT [9:1243]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [10:3755]
    :POSTROUTING ACCEPT [10:3755]
    COMMIT
    # Completed on Mon Dec 15 20:50:37 2003
    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *filter
    :FORWARD ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :Block - [0:0]
    :Users - [0:0]
    :OUTPUT ACCEPT [0:0]
    #-A FORWARD -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
    #-A FORWARD -i eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
    #-A OUTPUT -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
    #-A INPUT -i eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
    # Http
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    # SSH
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    -A INPUT -d 200.?.?.? -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    # -A INPUT -i wlan0 -j ACCEPT
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -j Users
    -A INPUT -j Block
    -A FORWARD -j Block
    -A Block -m state -i eth1 --state NEW -j DROP
    # Aceita conexões ja estabelecidas
    -A Block -m state --state ESTABLISHED,RELATED -j ACCEPT
    # FTP / SSH / Telnet / SMTP
    -A Block -p tcp -m tcp --dport 20:25 -j ACCEPT
    -A Block -p udp -m udp --dport 20:25 -j ACCEPT
    # DNS
    -A Block -p tcp -m tcp --dport 53 -j ACCEPT
    -A Block -p udp -m udp --dport 53 -j ACCEPT
    # http
    -A Block -p tcp -m tcp --dport 80 -j ACCEPT
    -A Block -p udp -m udp --dport 80 -j ACCEPT
    # Pop-3
    -A Block -p tcp -m tcp --dport 110 -j ACCEPT
    -A Block -p udp -m udp --dport 110 -j ACCEPT
    # https
    -A Block -p tcp -m tcp --dport 443 -j ACCEPT
    -A Block -p udp -m udp --dport 443 -j ACCEPT
    # Sistema da Saude
    -A Block -p tcp -m tcp --dport 211 -j ACCEPT
    -A Block -p udp -m udp --dport 211 -j ACCEPT
    # Proxy
    -A Block -p tcp -m tcp --dport 3128 -j ACCEPT
    -A Block -p udp -m udp --dport 3128 -j ACCEPT
    # Altas Geral
    -A Block -p tcp -m tcp --dport 1024:65535 -j ACCEPT
    -A Block -p udp -m udp --dport 1024:65535 -j ACCEPT
    # MICRO1
    -A Users -m mac -s 192.168.0.2 -j RETURN --mac 00:02:78:e3:37:d7
    # MICRO2
    -A Users -m mac -s 192.168.0.3 -j RETURN --mac 00:40:f4:ab:1a:e2


    tenho na eth1:1 200.?.?.? ativa
    tenho na eth0:1 192.168.0.2

    fico muito grato pela força.
    mr.gam@uol.com.br



  5. #15
    bitloader
    procura mandar so a parte q relamente interessa

    a intencao era de ajudar.
    bitloader


    Citação Postado originalmente por mr.gam
    pessoal, fico muito grato pela grande ajuda q estao me dando,
    pesso q naum me levem a mal mas resolvi passar o fire pra vc´s vere, como esta, blz!
    Realmente estou precisando urgente deste procedimento pois j´s engrossei e naum acho a saida.

    entao tá aí.

    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *nat
    :PREROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    # DNS Server PRE
    -A PREROUTING -d 10.30.1.1 -j DNAT --to-destination 10.30.2.1
    # DNAT Valido
    -A PREROUTING -d 200.?.?.? -j DNAT --to-destination 192.168.0.2
    # Redirect Squid
    -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
    # Masq IP
    -A POSTROUTING -o eth1 -j MASQUERADE
    # DNS Server POST
    -A POSTROUTING -s 10.30.2.1 -j SNAT --to-source 10.30.1.1
    # SNAT Valido
    -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source 200.?.?.?
    COMMIT
    # Completed on Mon Dec 15 20:50:37 2003
    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *mangle
    :PREROUTING ACCEPT [9:1243]
    :INPUT ACCEPT [9:1243]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [10:3755]
    :POSTROUTING ACCEPT [10:3755]
    COMMIT
    # Completed on Mon Dec 15 20:50:37 2003
    # Generated by iptables-save v1.2.9 on Mon Dec 15 20:50:37 2003
    *filter
    :FORWARD ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :Block - [0:0]
    :Users - [0:0]
    :OUTPUT ACCEPT [0:0]
    #-A FORWARD -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
    #-A FORWARD -i eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
    #-A OUTPUT -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
    #-A INPUT -i eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
    # Http
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    # SSH
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    -A INPUT -d 200.?.?.? -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    # -A INPUT -i wlan0 -j ACCEPT
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -j Users
    -A INPUT -j Block
    -A FORWARD -j Block
    -A Block -m state -i eth1 --state NEW -j DROP
    # Aceita conexões ja estabelecidas
    -A Block -m state --state ESTABLISHED,RELATED -j ACCEPT
    # FTP / SSH / Telnet / SMTP
    -A Block -p tcp -m tcp --dport 20:25 -j ACCEPT
    -A Block -p udp -m udp --dport 20:25 -j ACCEPT
    # DNS
    -A Block -p tcp -m tcp --dport 53 -j ACCEPT
    -A Block -p udp -m udp --dport 53 -j ACCEPT
    # http
    -A Block -p tcp -m tcp --dport 80 -j ACCEPT
    -A Block -p udp -m udp --dport 80 -j ACCEPT
    # Pop-3
    -A Block -p tcp -m tcp --dport 110 -j ACCEPT
    -A Block -p udp -m udp --dport 110 -j ACCEPT
    # https
    -A Block -p tcp -m tcp --dport 443 -j ACCEPT
    -A Block -p udp -m udp --dport 443 -j ACCEPT
    # Sistema da Saude
    -A Block -p tcp -m tcp --dport 211 -j ACCEPT
    -A Block -p udp -m udp --dport 211 -j ACCEPT
    # Proxy
    -A Block -p tcp -m tcp --dport 3128 -j ACCEPT
    -A Block -p udp -m udp --dport 3128 -j ACCEPT
    # Altas Geral
    -A Block -p tcp -m tcp --dport 1024:65535 -j ACCEPT
    -A Block -p udp -m udp --dport 1024:65535 -j ACCEPT
    # MICRO1
    -A Users -m mac -s 192.168.0.2 -j RETURN --mac 00:02:78:e3:37:d7
    # MICRO2
    -A Users -m mac -s 192.168.0.3 -j RETURN --mac 00:40:f4:ab:1a:e2


    tenho na eth1:1 200.?.?.? ativa
    tenho na eth0:1 192.168.0.2

    fico muito grato pela força.
    mr.gam@uol.com.br






Tópicos Similares

  1. duvidas no firewall
    Por STEEV no fórum Servidores de Rede
    Respostas: 2
    Último Post: 18-10-2003, 13:45
  2. Como autenticar o Veloz no firewall Linux
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 26-08-2003, 09:41
  3. Liberando todas as portas no firewall pra um ip
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-08-2003, 09:17
  4. Aumentar segurança no Firewall (Iptables)
    Por A-Marcio no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-04-2003, 12:50
  5. liberar 1 site no firewall
    Por Anticristh no fórum Servidores de Rede
    Respostas: 1
    Último Post: 19-02-2003, 08:42

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L