+ Responder ao Tópico



  1. #1
    PolacoCWB
    Visitante

    Padrão fazendo nat para e liberando para ips especificos

    Estou fazendo um nat no meu firewall para compartilhar a conexao sem utilizao o squid.

    iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 192.0.0.0/8 -p tcp --dport 80 -j REJECT
    iptables -A OUTPUT -s 192.0.0.0/8 -p tcp --dport 80 -j REJECT

    iptables -A FORWARD -s 192.168.0.2 -p udp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.3 -p udp --dport 80 -j ACCEPT
    iptables -A INPUT -s 192.0.0.0/8 -p udp --dport 80 -j REJECT
    iptables -A OUTPUT -s 192.0.0.0/8 -p udp --dport 80 -j REJECT

    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    :toim: O PROBLEMA É QUA A MAQUINA 192.168.0.30 ESTA ACESSANDO A NET MESMO NAO TANDO LIBERADO NO FIREWALL

  2. #2

    Padrão fazendo nat para e liberando para ips especificos

    é porque em nenhum momento voce bloqueou a saida dela, bloquear pelo output nao é uma ideia muito boa, pois mesmo assim gasta poder de "processamento", podendo bloquear em uma chain que venha primeiro é mais inteligente.



  3. #3
    Visitante

    Padrão fazendo nat para e liberando para ips especificos

    Citação Postado originalmente por mistymst
    é porque em nenhum momento voce bloqueou a saida dela, bloquear pelo output nao é uma ideia muito boa, pois mesmo assim gasta poder de "processamento", podendo bloquear em uma chain que venha primeiro é mais inteligente.

    como eu bloqueio a saida em 1º como ficaria a regra ? no iptables

  4. #4

    Padrão fazendo nat para e liberando para ips especificos

    Eu acho que você esta confundindo um pouco a função das Chains do IPtables

    A chain OUTPUT irá "ver" os pacotes que estiverem saindo do host local, com origem nele!
    A chain FORWARD irá "ver" os pacotes que estiverem passando através dele, ou seja com destino a uma outra rede.
    A chain INPUT irá "ver" somente os pacotes com destino ao seu linux.

    Para que isso funcione da maneira que você quer, é necessário primeiro mudar a política padrão do seu iptables, você faz isso da seguinte forma:

    iptables -P FORWARD DROP

    Assim, qualquer pacote tentando passar através do seu firewall será dropado, a não ser que você o permita.
    Uma coisa legal de se fazer além de atrelar a regra a um endereço IP é fazer isso com o endereço MAC tb!

    Bom, espero ter ajudado! :good:

    André

    [email protected]