+ Responder ao Tópico



  1. 27-08-2005, 20:17 #1
    thiagog
    Visitante

    Padrão iptables com NOVELL e NATs

    oi pessoal estou com um problema e nao consigui ainda entender o motivo;

    tenho um FW IPTABLES com 3 SEGMENTOS (3 redes distinas)

    (internet)---------[FW-IPTABLES]------------(LAN 10.1.1.0/24)
    |______(DMZ 10.2.1.0/24)

    onde na lan tenho ESTACOES WINDOWS 98 com CLIENTE NOVELL

    onde na DMZ tenho o SERVIDOR NOVELL com a ARVORE NOVELL (estrutura de diretorio ok - integra)

    ERROS: quando dou um flush somente nas REGRAS o acesso funciona; caso contrario as estacoes windows 98 nao autenticam no novell ;

    meu FIREWALL esta basico ----- REGRAS ----
    #!/bin/bash

    #limpando tabelas
    iptables -F &&
    iptables -X &&
    iptables -t nat -F &&
    iptables -t nat -X &&

    #variaveis de ambiente

    int_ext="200.100.100.171"
    int_dmz="10.1.1.1"
    int_interna="10.2.1.1"

    mail="200.100.100.172"
    mail_int="10.70.20.50"
    #proxy="200.100.131.xxx"

    #Libera o loopback
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #liberando acesso para os NATS

    iptables -A FORWARD -s 0/0 -d 200.100.100.172/32 -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d $mail -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d $mail -p tcp --dport 11000 -j ACCEPT
    iptables -A INPUT -s 0/0 -d $mail -p tcp --dport 11000 -j ACCEPT
    iptables -A INPUT -s 0/0 -d $mail -p tcp --dport 10000 -j ACCEPT

    iptables -A INPUT -j ACCEPT &&
    iptables -A OUTPUT -j ACCEPT &&
    iptables -A FORWARD -j ACCEPT &&

    #nat 1:1

    iptables -t nat -A PREROUTING -d $mail -p tcp --dport 11000 -j DNAT --to $mail_int:10000
    iptables -A PREROUTING -t nat -d 200.100.100.172 -j DNAT --to 10.70.20.50
    iptables -A POSTROUTING -t nat -s 10.70.20.50 -j SNAT --to 200.100.100.172

    #compartilhando a web na rede interna
    iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    iptables -t nat -A POSTROUTING -s 10.70.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    echo 1 > /proc/sys/net/ipv4/ip_forward &&

    # Protecao contra port scanners ocultos
    #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloqueando tracertroute
    #iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    #Protecoes contra ataques
    #iptables -A INPUT -m state --state INVALID -j DROP

    #termina
    echo "Iptables Pronto"
    Citação Citação
  2. 27-08-2005, 21:20 #2
    ruyneto
    ruyneto está desconectado
    Avatar de ruyneto
    Ingresso
    Jul 2004
    Posts
    2.957
    Posts de Blog
    3

    Padrão iptables com NOVELL e NATs

    Cara eu nunca usei iptables com novell mas o que eu sei de novell pelo cisco eh que ele usa protocolo ipx e nao ip, entao nao sei se o tratamento pelo iptables de pacotes ipx eh normal ou se tem de usar algo especial.

    falows
    Citação Citação
  3. 29-08-2005, 21:52 #3
    thiagog
    Visitante

    Padrão novell..

    amigo o meu novell tem uma NLM que fala tcpip habilitado : )
    e funciona show de bola o lance é que as regras nao fazem efeito
    como faco para que entre as redes 10.70. e 172.16 os enderecos nao sejam convertidos ?

    Obrigado.

    Citação Citação
  4. 01-09-2005, 14:53 #4
    Visitante

    Padrão Re: iptables com NOVELL e NATs

    Citação Postado originalmente por thiagog
    oi pessoal estou com um problema e nao consigui ainda entender o motivo;

    tenho um FW IPTABLES com 3 SEGMENTOS (3 redes distinas)

    (internet)---------[FW-IPTABLES]------------(LAN 10.1.1.0/24)
    |______(DMZ 10.2.1.0/24)

    onde na lan tenho ESTACOES WINDOWS 98 com CLIENTE NOVELL

    onde na DMZ tenho o SERVIDOR NOVELL com a ARVORE NOVELL (estrutura de diretorio ok - integra)

    ERROS: quando dou um flush somente nas REGRAS o acesso funciona; caso contrario as estacoes windows 98 nao autenticam no novell ;

    meu FIREWALL esta basico ----- REGRAS ----
    #!/bin/bash

    #limpando tabelas
    iptables -F &&
    iptables -X &&
    iptables -t nat -F &&
    iptables -t nat -X &&

    #variaveis de ambiente

    int_ext="200.100.100.171"
    int_dmz="10.1.1.1"
    int_interna="10.2.1.1"

    mail="200.100.100.172"
    mail_int="10.70.20.50"
    #proxy="200.100.131.xxx"

    #Libera o loopback
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #liberando acesso para os NATS

    iptables -A FORWARD -s 0/0 -d 200.100.100.172/32 -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d $mail -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d $mail -p tcp --dport 11000 -j ACCEPT
    iptables -A INPUT -s 0/0 -d $mail -p tcp --dport 11000 -j ACCEPT
    iptables -A INPUT -s 0/0 -d $mail -p tcp --dport 10000 -j ACCEPT

    iptables -A INPUT -j ACCEPT &&
    iptables -A OUTPUT -j ACCEPT &&
    iptables -A FORWARD -j ACCEPT &&

    #nat 1:1

    iptables -t nat -A PREROUTING -d $mail -p tcp --dport 11000 -j DNAT --to $mail_int:10000
    iptables -A PREROUTING -t nat -d 200.100.100.172 -j DNAT --to 10.70.20.50
    iptables -A POSTROUTING -t nat -s 10.70.20.50 -j SNAT --to 200.100.100.172

    #compartilhando a web na rede interna
    iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    iptables -t nat -A POSTROUTING -s 10.70.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    echo 1 > /proc/sys/net/ipv4/ip_forward &&

    # Protecao contra port scanners ocultos
    #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloqueando tracertroute
    #iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    #Protecoes contra ataques
    #iptables -A INPUT -m state --state INVALID -j DROP

    #termina
    echo "Iptables Pronto"
    Citação Citação



« Tópico Anterior | Próximo Tópico »