+ Responder ao Tópico



  1. #1
    ddamaral
    Visitante

    Padrão iptables

    E ai pessoal!

    Alguem pode me dar uma ajuda, please!!!!

    Eu uso iptables 1.2.8, distro debian.

    Oque acontece: tenho uma faixa de ips validos embratel entrando por roteador (pr 1000).
    Em seguida passo por uma maq. firewall (iptables) com duas nics (etho com ip valido e eth1 com ip interno).

    Na nic etho, adicionei os outros ips validos atraves de alias.

    O problema esta na hora de fazer nat usando o alias, exemplo:

    iptables -t nat -A PREROUTING -s 200.X.X.X -i eth0:12 -p tcp --dport 80 -j DNAT --to 100.X.X.X
    iptables -t nat -A POSTROUTING -s 200.X.X.X -o eth0:12 -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 100.X.X.X -o eth0:12 -j SNAT -to 200.X.X.X
    iptables -t nat -A POSTROUTING -s 100.X.X.X -o eth0:12 -p tcp --dport 80 -j ACCEPT


    Apos restart do firewall, ele me da a msg.:


    Warning: weird character in interface `eth0:12' (No aliases, :, ! or *)

    A pergunta é : existe alguma outra forma de fazer nat, sem usar o alias, sendo que preciso redirecionar varios ips para alguns serviços dedicados dentro da rede?

    Espero nao ter sido muito prolongado, mas é a realidade.

    Obrigado.

  2. #2

    Padrão iptables

    cara.. taca somente "-i eth0" ou entao nao poem interface, somente o ip e cria os aliases nas placas.

    # man iptables

    e de uma olhada se ele suporta alias de fato.

  3. #3

    Padrão iptables

    Crie o roteamento direto no router pode lhe ajudar a nao carregar tanto em iptables. e deixa apenas 1 ip na eth0 e fas o mascaramento.

  4. #4
    Visitante

    Padrão Re: iptables

    Citação Postado originalmente por ddamaral
    E ai pessoal!

    Alguem pode me dar uma ajuda, please!!!!

    Eu uso iptables 1.2.8, distro debian.

    Oque acontece: tenho uma faixa de ips validos embratel entrando por roteador (pr 1000).
    Em seguida passo por uma maq. firewall (iptables) com duas nics (etho com ip valido e eth1 com ip interno).

    Na nic etho, adicionei os outros ips validos atraves de alias.

    O problema esta na hora de fazer nat usando o alias, exemplo:

    iptables -t nat -A PREROUTING -s 200.X.X.X -i eth0:12 -p tcp --dport 80 -j DNAT --to 100.X.X.X
    iptables -t nat -A POSTROUTING -s 200.X.X.X -o eth0:12 -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 100.X.X.X -o eth0:12 -j SNAT -to 200.X.X.X
    iptables -t nat -A POSTROUTING -s 100.X.X.X -o eth0:12 -p tcp --dport 80 -j ACCEPT


    Apos restart do firewall, ele me da a msg.:


    Warning: weird character in interface `eth0:12' (No aliases, :, ! or *)

    A pergunta é : existe alguma outra forma de fazer nat, sem usar o alias, sendo que preciso redirecionar varios ips para alguns serviços dedicados dentro da rede?

    Espero nao ter sido muito prolongado, mas é a realidade.

    Obrigado.
    Mas como ele faria os redirecionamentos se coloca-se todos os Ips diretamente no Router ? E ele ficaria sem proteção alguma! A não ser que ele utilize um FireHunter.

  5. #5
    ddamaral
    Visitante

    Padrão iptables

    Ola pesooal, agradeço a ajuda de todos.

    O cenario é realmente oque disse o

    Eu nao posso colocar todos os ips direto no router pois ficaria exposto, agora quanto a regra que descrevi, posso descartar a interface e usar somente o ip?

    Detalhe ja tenho nat rodando em uma conexao, mas somente com um ip valido. ex:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53:53 -j DNAT --to-dest 100.x.x.x
    iptables -A FORWARD -p tcp -i eth0 --dport 53:53 -d 100.x.x.x -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53:53 -j DNAT --to-dest 100.x.x.x
    iptables -A FORWARD -p udp -i eth0 --dport 53:53 -d 100.x.x.x -j ACCEPT

    valeu

  6. #6
    felco
    Visitante

    Padrão iptables

    Eu acredito pelo contrario que voce deveria utilizar seu router pra cuidar dos seus IP´s.
    Sendo que não ficaria nenhum IP real em maquina alguma mas que atravez de SNAT´s e DNAT´s o firewall virtualmente atribuisse um IP real as maquinas que voce quer.
    Já usei esse setup é ficou muito bom, mas você precisa que fisicamente o router so seja acessivel atravez do firewall, ligando-os via um cabo crossover.
    Entao seria quebrado seu bloco de IP´s dentro do router e feito rotas da suas "redes" todas para seu Firewall...
    Assim na prática seu firewall seria o único com IP real é o único com todos os IP´s do seu range, virtualmente seu firewall teria todos os IP´s pra ele, assim se voce fizer isso:

    Código :
    iptables -t nat -A PREROUTING -d 200.z.x.y -j DNAT --to 192.168.1.100
    iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to 200.z.x.y

    A maquina 192.168.1.100 teria um IP valido pra quem a ve de fora.
    Pra min esse é um bom setup porque voce não precisa necessariamente atribuir um IP pra maquina mas pode fazer DNAT limitando uma porta por exemplo...

    Código :
    iptables -t nat -A PREROUTING -p tcp --dport 80-d 200.z.x.y -j DNAT --to 192.168.1.100:80
    iptables -t nat -A POSTROUTING -s 192.168.1.100 -p tcp --sport 80 -j SNAT --to 200.z.x.y:80

  7. #7

    Padrão iptables

    Acredito q essa configuração que o felco passou funcione perfeitamente para o caso...

    e fica mais fácil de trabalhar, pois vc tem apenas um lugar pra fazer as configurações...

    pois se atribuir o ip válido direto na maquina seria preciso implementar um firewall bom nela tbm...

    valew
    []'s