Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Redirecionamento de ip e porta iptables.

    Fala Linuxers =]
    Blzinha?
    Antes de mais nada , queria falar que o site ficou show de bola, parabens a todos que de alguma maneira contribuiram =]
    Gostei =]
    Mais como a vida não é facil, vamos lá.
    hehehe
    Após eu criar meu firewall, andei ""despraticando iptables" ou seja, apenas abria uma portinha ou outra etc...
    Porem, um cidadão, mais conhecido como meu chefe, heheh inventou de colocar uma aplicação web rodando dentro de nossa rede, ou seja, tenho meu firewall e um servidor de aplicação dentro da minha rede.
    Ok.
    Tentei dar uma olhada aqui nos Artigos no redirecionamento de de portas com iptables, só que to tomando uma surra, não to sabendo fazer mesmo hehehe.
    Vamos lá vou tentar explicar melhor.

    tenho meu firewall configurado assim:

    NET(200.200.200.200) eth0 ou ppp0 <-----Firewall------> eth1 192.168.1.1
    Rede interna(192.168.1.2) eth0 <---Servidor de aplicação

    *(ppp0 aqui em casa onde estou testando.... pois no trampo estou em ambiente de produção e nao da pra ficar reiniciando o script de firewall).

    Tenho uma terceira placa de rede no firewall, mas acho que não vem ao caso.

    ok, tenho uma aplicação em 192.168.1.2 , porta 8080 para ser mais exato é o Tomcat...
    e tenho que disponibilizalo na net em 200.200.200.200 na porta 80 e não na 8080.
    Ai lá fui eu com as seguintes regras:

    á sim, claro, meu firewall tem como politica

    IMPUT DROP
    FORWARD DROP
    OUTPUT ACCEPT

    vamos as regras:

    iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 8080 -j DNAT --to 192.168.1.2:80

    iptables -t nat -A POSTROUTING -s 200.200.200.200 -p tcp --dport 8080 -j ACCEPT

    iptables -A -p POSTROUTING -p tcp -s 192.168.1.2 --sport 80 -j SNAT --to 200.200.200.200:8080

    iptables -t nat -A POSTROUTING -s 192.168.1.2 -p tcp --dport 80 -j ACCEPT

    Vejam se estou certo....
    1 regrak, fizemos um prerouting para tudo que chegar na porta 80, ser repassado para 192.168.1.2 na porta 80
    2 regra: estamos aceitando um postrouting para a porta 8080
    3:Tudo que sair de minha porta 80 da minha maquina interna ir para 200.200.200.200:8080
    4:Aceitando o postrouting da porta 80 de 192.168.1.2


    é isso ai, claro que estou esquecendo de algo... estou fazendo varios testes aqui, porem não estou conseguindo..

    Se alguem puder me dar uma ajuda , ficarei eternamente grato.

    Valew por Ler meu HELP aqui!

    Abraços a todos , e fico no aguardo!

    Fui...

  2. #2

    Padrão Redirecionamento de ip e porta iptables.

    se vc quer qas pessoas acessem por

    http://200.xxxxxxxxx e ele acesse o tomcat q ta rodando na rede interna no 192.168.1.2 8080 sua regra ta ao contrario

    iptables -t nat -A PREROUTING -p tcp -d 200.xxxxxxx --dport 80 -j DNAT --to 192.168.1.2:8080

    e tb coloca isso:

    iptables -A FORWARD -s 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT

    bom se eu fosse vc deixava o forward como accept soh pra testar o redirecionamento, dps q vc tiver certeza de q ta ok vc fecha ele denovo



  3. #3

    Padrão Desculpe , faltou informações

    Ice, você tem toda a razão.
    Porem existe um motivo pra isso, aqui em casa onde estou testando , tenho utilizo Speed , e os LAZA*** bloqueiam minha porta 80 , então coloquei nessa regra para utilizar a porta 8080 na web i (DESCULPE REALMENTE NÂO DISSE ISSO NO POST).
    ....

    Sorry...

  4. #4

    Padrão Redirecionamento de ip e porta iptables.

    Já até troquei aqui a porta 8080 , para caso fosse bloqueada tambem , coloquei 20000 2000 , porem , sem sucesso.



    =/



  5. #5

    Padrão Redirecionamento de ip e porta iptables.

    nao sei se eh ai o caso, mas tem um amigo meu q usa adsl e os fdp devem mascarar o ip pq nao da pra conectar em nenhuma porta!!!!!!!!

    vc jah deixou o forward como accept soh pra testar o redirecionamento?

    tipo cria a regra ai com alguma porta alta soh pra testar, ai abre o iptraf, dps tenta se conectar e ve oq aparece no iptraf... se nao mostrar pelo menos uma conexao S ou RESET eles tb tao bloqueando qq acesso ao speedy

  6. #6

    Padrão Redirecionamento de ip e porta iptables.

    Opa, FORWARD's colocados pós minhas regras de PREROUTING e POSTROUTING





    iptables -A FORWARD -s 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -d 192.168.1.2 -m state --state RELATED,ESTABLISHED -j ACCEPT



    ainda não... =]



  7. #7

    Padrão Redirecionamento de ip e porta iptables.

    ic3, eu tenho um servidor ssh aqui em casa, acabei de entrar em um servidor remoto, e de lá consegui acessar meu ssh aqui...
    ou seja, tá funfando.

  8. #8

    Padrão Redirecionamento de ip e porta iptables.

    blz, se vc consegue acessar o ssh a porta 80 tb nao ta bloqueada

    soh pra garantir usa somente essas regras:

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -d 200xxxx 80 -j DNAT --to 192.168.1.2:8080


    soh essas duas, nao precisa fazer snat, e deixa o forward accept

    PS: e cria o masquerade tb
    iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE



  9. #9

    Padrão Redirecionamento de ip e porta iptables.

    fiz assim


    iptables -t nat -A PREROUTING -d 200.148.126.57 -p tcp --dport 9090 -j DNAT --to 192.168.1.2:80

  10. #10

    Padrão Redirecionamento de ip e porta iptables.

    e oq deu?
    alias no 192.168.1.2 o tomcat num tava rodando na porta 8080?



  11. #11

    Padrão Redirecionamento de ip e porta iptables.

    Sim sim, porta 8080 , bati errado aqui 9090....

    nada...

    certeza que é o speedy.....
    tentei acessar outras portas aqui, e parece que o laza*** ta bloqueando httpd://


    tenho o no-ip e não to conseguindo acessar tambem!!!!
    afff

    isso que é FOD* quando estou resolvendo uma coisa , surge outra pra atrapalhar....
    isso é so comigo? hehehee
    ic3.
    pelo menos sei que a regra deve funcionar no trampo, aqui em casa por não ser speedy business os nego cag* com minhas conexões...
    afff
    Ic3 valew por tudo mesmo Irmão, quebrou mo galho =]
    Valew mesmo!

  12. #12

    Padrão Redirecionamento de ip e porta iptables.

    eu jah tava comecando a ficar preocupado se eu tava falando merda heheheh
    esses nego do speedy sao fo$%#$%, bom aki em casa eu tb uso, mas tenho ip fixo igual business e tb tenho todas as portas liberadas hehehehe



  13. #13

    Padrão Redirecionamento de ip e porta iptables.

    eu posso te ajudar, na maquina onde ta o firewall ou na maquina do tomcat, tem algum servidor web(apache) que faz integração com o tomcat?

    só me responde isso...

    vlw falow

  14. #14
    felco
    Visitante

    Padrão Redirecionamento de ip e porta iptables.

    Galera eu tenho uma observacao, olha so... no POSTROUTING nao precisa colocar o -d porque so existe 1 IP valido nesse caso, eh tem um detalhe quando vc coloca o -d no Linux e os pacotes chegam ele nao entende isso, ao menos que seja PPPoE esse Speedy, o route(modem) nao tem outros IPs alocados entao eh algo do tipo:

    Código :
    iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 192.168.1.2:8080
     
    iptables -t nat -A POSTROUTING  -s 192.168.1.2 -p tcp --sport 8080 -j SNAT --to 200.148.126.57

    Testa ai eh me da um alo!



  15. #15
    felco
    Visitante

    Padrão Redirecionamento de ip e porta iptables.

    Pensando aqui, o SNAT nao e' necessario!!!

  16. #16

    Padrão Redirecionamento de ip e porta iptables.

    povo leiam os posts anteriores... jah ta resolvido... eh o speedy q ta bloqueando... nem http no proprio micro q ligado no modem vai....



  17. #17

    Padrão Redirecionamento de ip e porta iptables.

    se ele usar o apache fazendo integração com o tomcat, basta a 80(http) dele ta liberado ele pode acessar o servidor, mas pelo que eu li, ta tudo bloquiado, xa pra la

  18. #18

    Padrão Redirecionamento de ip e porta iptables.

    Ai pessoal valew pelas respostas =]
    Ok, agora estou em meu trampo.
    tenho minhas portas todas liberadas aqui devido ao acesso ser businnes.
    Vamos lá.
    Respondendo a pergunta do Brenno , tenho o tomcat rodando e não o modulo do tomcat rodando no apache.
    ele roda em minha porta 8080.

    blz.
    inicialmente no meu firewall eu abilito o repasse de pacotes.
    de pacotes:

    echo 1 > /proc/sys/net/ipv4/ip_forward

    limpo as regras, caso já tenha alguma pré definida.
    iptables -F
    iptables -t nat -F
    iptables -X -t nat
    iptables -Z
    tenho a politica de drop , apenas com o output como accept
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    mascaro minha rede
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
    sim aqui minha internet é na eth1

    Tenho minha regra de FORWARD estabelecida para a minha rede
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24

    para minha regra de INPUT, vamos colocar alguma segurança =]
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP


    para conseguir acessar meu firewall por ssh "momentaneamente dei um input accept para minha rede interna.
    iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

    aqui eu vou liberar a porta 80 no servidor , para a mesma conseguir repassa-la
    para o senho TOMCAT na outra maquina interna.
    iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

    agora chego o momento:
    estou redirecionando a minha porta com as seguintes regras

    iptables -A FORWARD -s 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -d 192.168.1.100 -m state --state RELATED,ESTABLISHED -j ACCEPT
    #sei que eu tinha uma regra já aceitando forward para minha rede interna ali em cima, porem.....


    conversando ontem com o 1c3_m4n, que foi um cara super 10, troquei as minhas regras que eu tinha feito, para apenas 1.
    que seria:

    iptables -t nat -A PREROUTING -p tcp -d 200.200.200.200 --dport 80 -j DNAT --to 192.168.1.100:8080



    porem por algum santo motivo.... isso não está funcionado como deveria.

    Agradeço a todos por terem a paciência de ajudarem um desmemoriado como eu hehehe

    então fico aqui agurdando respostas.

    Abraços



  19. #19

    Padrão Redirecionamento de ip e porta iptables.

    CURIOSIDADE:
    Quando acesso no browser:
    http://200.200.200.200
    ele fica a carregar............
    e depois de uns 3 min morre.

  20. #20

    Padrão Redirecionamento de ip e porta iptables.

    perai vc ta somente com essa regra de prerouting?
    alem dela como estao as regras forward?