Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por rootmaster Ver Post
    Tranquilo ... só comentei porque ... como o iptables lê as regras em ordem ...
    achei que isso poderia influenciar ...

    Falow ...
    sim

    mais ele le por ortem
    mais ele segue

    prerountig postrouting forward input e output
    ai no caso

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    ele vai executar o prerouting depois o postrouting

  2. blz ...

    falow ...



  3. #8
    salcam
    Gostaria de saber aonde coloco essa regra pois as politicas sao drop ou se isso vai influenciar algo na regra obrigado

  4. naum influencia

    o que vc tem que fazer é liberar sua rede



  5. preste atenção nisso aqui:

    - INPUT -> pacotes com destino a MAQUINA GATEWAY
    - FORWARD -> pacotes que PASSAM pelo gateway mas o destino nao eh o GATEWAY
    - OUTPUT -> pacotes gerados no GATEWAY e que vao sair para algum lugar..

    entao.. supondo que sua eth1 eh INTRANET e a eth0 é INTERNET:

    iptables -t filter -F
    iptables -t nat -F
    iptabes -t mangle -F

    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT

    #liberar vnc no gateway
    iptables -t filter -A INPUT -p tcp --dport 5900 -j ACCEPT
    #ssh
    iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
    #proxy
    iptables -t filter -A INPUT -p tcp --dport 3128 -j ACCEPT
    #www
    iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

    #liberar forward da rede
    iptables -t filter -A FORWARD -s 192.168.0.0/24 -j ACCEPT
    iptables -t filter -A FORWARD -d 192.168.0.0/24 -j ACCEPT

    #mascaramento
    iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
    #proxy transparente
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128



    esse firewall ai é bem basico... mas com base nele voce pode ir implementando.. lembrando que se voce redirecionar uma porta do GATEWAY para a rede interna.. NAO precisa liberar no INPUT !!

    a ordem que o kernel faz é a seguinte:

    1- pacote entra na interface eth0
    2- passa pela MANGLE PREROUTING
    3- passa pela NAT PREROUTING
    4- quando o pacote CHEGA aqui, acontece uma decisao de "roteamento" e o pacote é analisado para onde vai (se o destino eh o gateway (INPUT) ou se sao outras maquinas por tras do gateway (FORWARD) .. 4.1 acontece caso for INPUT e 4.2 acontece caso for FORWARD

    4.1.1 - pacote passa pela MANGLE INPUT
    4.1.2 - pacote passa pela FILTER INPUT
    4.1.3 - pacote passa pela MANGLE OUTPUT
    4.1.4 - pacote passa pela NAT OUTPUT
    4.1.5 - aqui acontece uma checagem do NAT para um re-roteamento do pacote
    4.1.5.1 - pacote passa pela FILTER OUTPUT e pula pro 5
    4.1.5.2 - pacote que nao bateu na 4.1.5.1 passa pela FILTER OUTPUT
    4.1.5.3 - pacote passa pela NAT OUTPUT (ebtables caso utilize)
    4.1.5.4 - pacote passa pela FILTER OUTPUT (ebtables caso utilize)
    4.1.5.5 - pacote passa pela NAT POSTOROUTING (ebatables caso utilize)
    4.1.5.6 - pacote passa pela MANGLE POSTROUTING
    4.1.5.7 - pacote passa pela NAT POSTROUTING e vai pro 6

    4.2.1 - pacote passa pela MANGLE FORWARD
    4.2.2 - pacote passa pela FILTER FORWARD e pula pro 5

    5. pacote passa pela MANGLE POSTROUTING
    5.1. pacote passa pela NAT POSTROUTING e vai pro 6

    6. - pacote ja cai na classificação do QDISC (ja nao eh analisado pelo iptables/ebtables mais)



    é isso ai... tem um site muito bom sobre iptables, do colega Eriberto Firewall com IPTABLES - by Eriberto

    explica muita coisa tambem






Tópicos Similares

  1. Respostas: 12
    Último Post: 30-09-2008, 12:52
  2. squid
    Por rosane no fórum Servidores de Rede
    Respostas: 3
    Último Post: 26-05-2006, 18:11
  3. Firewal+squid+dmz
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 02-05-2006, 14:13
  4. Bridge + Iptables + Squid Remoto
    Por Machado no fórum Servidores de Rede
    Respostas: 2
    Último Post: 26-08-2003, 09:04
  5. Squid
    Por luiz_nando no fórum Servidores de Rede
    Respostas: 1
    Último Post: 10-05-2002, 19:05

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L