Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    wallacef
    Olá pessoal eu estou estudando IPTABLES (sou totalemente novato em IPTABLES, ainda não entendo muita coisa). Me surgio uma dúvida nesta regra:

    IPTABLES -A FORWARD --dport 80 -s eth0 -d eth1 -j ACCEPT

    O que eu entendi nesta regra é que todo o tráfego que for da porta 80, é redirecionado para a segunda interface de rede.

    Minha duvida:

    A minha dedução está correta ou não?
    A máquina firewall (que possui a eth0 e a eth1) vai acessar HTTP? ou apenas quem está atras da eth1?

    HELP ME


  2. #2
    felco
    Ta errado.

    o parametro -s e -d esperam um valor igual a um numero IP, nesse caso o certo seria usar -i e -o

    -s = --source -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se a origem dos dados for o mesmo endereco IP definido
    -d = --destination -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se o destino dos dados for o mesmo endereco IP definido

    -i = --input -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a entrada dos dados for feita/estiver sendo feita pela interface definida
    -o = --output -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a saida dos dados for feita/estiver sendo feita pela interface definida

    * Ex.: lo, eth0, ppp0, br0, etc



  3. #3
    wallacef
    Citação Postado originalmente por felco
    Ta errado.

    o parametro -s e -d esperam um valor igual a um numero IP, nesse caso o certo seria usar -i e -o

    -s = --source -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se a origem dos dados for o mesmo endereco IP definido
    -d = --destination -> O valor sempre e um endereco IP ou um hostname, esse parametro restringe as condicoes da regra apenas se o destino dos dados for o mesmo endereco IP definido

    -i = --input -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a entrada dos dados for feita/estiver sendo feita pela interface definida
    -o = --output -> O valor sempre e uma interface de rede*, esse parametro restringe as condicoes da regra apenas se a saida dos dados for feita/estiver sendo feita pela interface definida

    * Ex.: lo, eth0, ppp0, br0, etc
    Portanto esta regra estaria corre eu substituindo por "-i e -o" ou depende da necessidade?

  4. #4
    felco
    Bom no caso voce teria que fazer as seguintes regras, pra que fosse efetivo:

    Código :
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -j ACCEPT
    iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

    Quando voce tem em mente compartilhamente de Internet, em outras palavras quando voce controla o filtro de pacotes em Gateway Linux, voce trabalha em cima da Chain FORWARD, essa chain vai tratar tantos os pacotes quando vao ao servidor externo(Internet) quanto na volta quando o servidor externo(Internet).

    Por isso voce tem 2 regras, a primeira quando o pacote esta vindo do servidor externo e a outra quando o pacote esta saindo para o servidor externo.



  5. #5
    wallacef
    Citação Postado originalmente por felco
    Bom no caso voce teria que fazer as seguintes regras, pra que fosse efetivo:

    Código :
    iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -j ACCEPT
    iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT

    Quando voce tem em mente compartilhamente de Internet, em outras palavras quando voce controla o filtro de pacotes em Gateway Linux, voce trabalha em cima da Chain FORWARD, essa chain vai tratar tantos os pacotes quando vao ao servidor externo(Internet) quanto na volta quando o servidor externo(Internet).

    Por isso voce tem 2 regras, a primeira quando o pacote esta vindo do servidor externo e a outra quando o pacote esta saindo para o servidor externo.
    Cara mas neste caso se eu usar a regra "iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT" eu não estaria "servindo" algo, como uma home page? Sou leigo tá, não liga para as perguntas esdruxulas.






Tópicos Similares

  1. Dúvida sobre uma regra de QoS
    Por EdilsonLSouza no fórum Redes
    Respostas: 1
    Último Post: 10-12-2014, 11:23
  2. Dúvida regra de iptables
    Por oyama no fórum Servidores de Rede
    Respostas: 2
    Último Post: 17-03-2005, 23:28
  3. como apagar uma regra de iptables?
    Por mcyberx no fórum Servidores de Rede
    Respostas: 3
    Último Post: 12-01-2005, 09:23
  4. Regras de Iptables para bloquear ICQ, Kazaa e etc
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-05-2003, 01:47
  5. Regras de IpTables
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 02-11-2002, 16:03

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L