+ Responder ao Tópico



  1. #1
    PolacoCWB
    Estou fazendo um nat no meu firewall para compartilhar a conexao sem utilizao o squid.

    iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 192.0.0.0/8 -p tcp --dport 80 -j REJECT
    iptables -A OUTPUT -s 192.0.0.0/8 -p tcp --dport 80 -j REJECT

    iptables -A FORWARD -s 192.168.0.2 -p udp --dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.3 -p udp --dport 80 -j ACCEPT
    iptables -A INPUT -s 192.0.0.0/8 -p udp --dport 80 -j REJECT
    iptables -A OUTPUT -s 192.0.0.0/8 -p udp --dport 80 -j REJECT

    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    :toim: O PROBLEMA É QUA A MAQUINA 192.168.0.30 ESTA ACESSANDO A NET MESMO NAO TANDO LIBERADO NO FIREWALL

  2. é porque em nenhum momento voce bloqueou a saida dela, bloquear pelo output nao é uma ideia muito boa, pois mesmo assim gasta poder de "processamento", podendo bloquear em uma chain que venha primeiro é mais inteligente.



  3. #3
    Citação Postado originalmente por mistymst
    é porque em nenhum momento voce bloqueou a saida dela, bloquear pelo output nao é uma ideia muito boa, pois mesmo assim gasta poder de "processamento", podendo bloquear em uma chain que venha primeiro é mais inteligente.

    como eu bloqueio a saida em 1º como ficaria a regra ? no iptables

  4. Eu acho que você esta confundindo um pouco a função das Chains do IPtables

    A chain OUTPUT irá "ver" os pacotes que estiverem saindo do host local, com origem nele!
    A chain FORWARD irá "ver" os pacotes que estiverem passando através dele, ou seja com destino a uma outra rede.
    A chain INPUT irá "ver" somente os pacotes com destino ao seu linux.

    Para que isso funcione da maneira que você quer, é necessário primeiro mudar a política padrão do seu iptables, você faz isso da seguinte forma:

    iptables -P FORWARD DROP

    Assim, qualquer pacote tentando passar através do seu firewall será dropado, a não ser que você o permita.
    Uma coisa legal de se fazer além de atrelar a regra a um endereço IP é fazer isso com o endereço MAC tb!

    Bom, espero ter ajudado! :good:

    André

    andre.zenun@gmail.com






Tópicos Similares

  1. FAZENDO NAT PARA IP VIRTUAL
    Por marcoeloy no fórum Servidores de Rede
    Respostas: 1
    Último Post: 14-07-2006, 13:30
  2. habilito o FORWARD para um IP especifico
    Por alexis_alves no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-03-2006, 12:39
  3. habilito o FORWARD para um IP especifico
    Por alexis_alves no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 15-03-2006, 10:12
  4. Bloquear Internet para Ips especificos
    Por deisinha_18 no fórum Servidores de Rede
    Respostas: 13
    Último Post: 23-09-2005, 13:39
  5. Liberar MSN para um IP específico no IPTABLES !!!
    Por Dan Martins no fórum Servidores de Rede
    Respostas: 11
    Último Post: 14-04-2005, 12:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L