Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    arouca
    Bom pessoal,

    Tenho estudado muito essa semana sobre Iptables, tendo em vista que o servidor firewall da empresa perdeu-se e o último analista não fez backup nem explica o procedimento...
    Tive que fazer um curso dinâmico de Iptables porém não consegui resolver alguns problemas...
    Atualmente tenho dois servidores DNS, um firewall, dentro da rede tenho dois servidores um de dominio onde roda tambem um exchange server e outro servidor onde a pagina da empresa fica.
    Já consegui liberar o acesso a internet e dentro da rede eu consigo fazer SMTP e POP de contas externas (IG, Yahoo, etc...) porém quando utilizo o email corporativo, este so manda emails para fora... não recebo nada de fora.
    e não consigo fazer a pagina aparecer fora da minha rede de jeito nenhum.... já li que provavelmente tenho q fazer um NAT, porém essa parte esta complicada... já verifiquei nos DNS e aparentemente esta ok.
    Segue meu script de firewall para análise, por favor deem dicas de excesso ou faltas nesse script... a base dele foi do foca linux.... o resto é o resto


    #!/bin/sh

    EXTIP=IP EXTERNO
    INTIP=IP INTERNO
    REDEEXT=0/0
    REDEINT=192.168.0.0/24

    iptables -F
    iptables -F tudo
    iptables -X
    iptables -t nat -F

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >$i
    done

    echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max

    iptables -N tudo

    # Aceita todo o trafego vindo/indo pro loopback e rede interna
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -s $REDEINT -i eth1 -j ACCEPT

    # Conexoes vindas da interface eth0 sao tratadas pelo chain tudo
    iptables -A INPUT -i eth0 -j tudo

    # Qualquer outra conexao desconhecida e imediatamente derrubada
    iptables -A INPUT -j DROP

    # Permite redirecionamento entre as interfaces locais
    # Qualquer trafego vindo/indo para outras sera bloqueado neste passo
    iptables -A FORWARD -d $REDEINT -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -s $REDEINT -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -j DROP

    iptables -A tudo -p icmp -m limit --limit 2/s -j ACCEPT

    # Primeiro aceitamos o trafego vindo da Internet para o servicos www,POP3 e SMTP

    iptables -A tudo -p tcp --dport 80 -j ACCEPT
    iptables -A tudo -p tcp --dport 25 -j ACCEPT
    iptables -A tudo -p tcp --dport 110 -j ACCEPT

    # A tentativa de acesso externo Sera bloqueada pela ultima regra abaixo.
    iptables -A tudo -m state --state ! ESTABLISHED,RELATED -j ACCEPT

    # Qualquer outro tipo de trafego e aceito
    iptables -A tudo -j ACCEPT

    # Permite qualquer conexao vinda com destino a lo e rede local para eth1

    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $EXTIP
    iptables -t nat -A POSTROUTING -s $REDEINT -o eth1 -j ACCEPT

    # Feito masquerading de outros servicos da rede interna indo para a interface
    # eth0
    iptables -t nat -A POSTROUTING -s $REDEINT -o eth0 -j MASQUERADE

    # Qualquer outra origem de trafego desconhecida indo para eth1 (conexoes vindas
    # de eth0) são bloqueadas aqui
    iptables -t nat -A POSTROUTING -o eth1 -d $REDEINT -j DROP

    # O trafego indo para a interface eth0 nao devera ser bloqueado. Os bloqueios serao feitos no
    # chain INPUT da tabela filter
    iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT

    # bloqueia qualquer outro tipo de trafego desconhecido
    iptables -t nat -A POSTROUTING -j DROP

  2. #2
    felco
    Pelo que eu entendi, voce tem um Webserver ai e um DNS, e as pessoas acessam de fora o site interno.

    Nesse caso voce tem que fazer NATs estaticos para os servidores:

    # Uma regra pra Webserver
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to <ip_webserver:80>

    Voce deve fazer uma semelhante para o DNS, so que o protocolo sera o UDP e a porta a 53



  3. #3
    arouca
    mas e com relacao ao recebimento de emails externos ?

  4. #4
    felco
    seu DNS deve estar recebendo conexoes externas primeiro, porque outros SMTPs vao querer achar o seu servidor mas isso so eh possivel atravez de consulta DNS, o seu DNS vai dizer o IP do servidor de e-mail



  5. #5
    arouca
    dando um ping no mail.DOMINIO.com.br ele esta direcionando para meu roteador da rede como deveria ser realmente...
    O problema deve ser a forma de dar um forward do roteador para o meu servidor interno... lembrando que meu exchange server estar em uma maquina dentro da rede que nao é enxergada por fora dela.






Tópicos Similares

  1. Respostas: 6
    Último Post: 20-07-2011, 10:58
  2. site acessivel apenas de dentro da rede interna
    Por marcoeloy no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-06-2007, 08:48
  3. Nao consigo accessar o dominio de dentro da LAN, so de fora
    Por jvdebian no fórum Servidores de Rede
    Respostas: 0
    Último Post: 23-07-2005, 07:42
  4. Apache só p/ dentro da rede
    Por doliveira no fórum Servidores de Rede
    Respostas: 3
    Último Post: 09-12-2003, 14:45
  5. Trafego estranho dentro da rede!!
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 18-07-2003, 11:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L