Configurar iptables - br0

[juliocm]

olá Pessoal,
Criei um bridge (Br0) no fedora core 5, e estou usando o iptables para fazer o controle de que pode ou não passar. Pergunto:
1) como faço para liberar o acesso de todas as máquinas internas a internet?
2) como faço para bloquear tudo que vem de fora?, liberar apenas porta 5900
Psiu: a eth0 = internet, eth1 = rede interna.

[tuxson]

1) Libere o roteamento e faça NAT:
#@@@ Libera roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
#Mascaramento para wireless
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

2)
iptables -P INPUT -j DROP
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT

3) De uma estudada no guia foca
Guia Foca GNU/Linux - Firewall iptables

[juliocm]

Essa regra funciona para um tunilamento entre as placas?
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

è pq a eth0 e eth1 estão sem ips, ou seja ifconfig 0.0.0.0 para que eu possa fazer essa bridge entre as placas...
Apliquei essa regra e não funcionou para essa eth0....

[tuxson]

Uai kra que estranho pq a eth0 tem que estar na mesma rede do modem entao tem q ter um IP e a eth1 tem que estar na mesma da LAN entao tem q ter IP.

Esta regra faz um NAT esntre as placas.

Dê uma olhada nesse link que lá tem uma excelente explicação sobre o NAT.
Tutorial de TCP/IP – Parte 20 – NAT – Network Address Translation

[juliocm]

Então, para não configurar um servidor de dhcp, por causa da eth1, no caso, a placa da rede local ia ter um ip diferente da rede que esta o modem, fiz essa bridge, como se juntasse as duas placas e transformasse em apenas uma. Só que para fazer regras de firewall como o MASQUERAD tenho q especificar um interface só q a br0 não é uma interface. por isso o desafio..(rsrs). Negócio ta osso... A não ser que coloco um ip da rede do modem para eth0 q esta ligada no modem. Só que se eu fizer isso não vai ter lógica.?

[enochian]

cara para com isso... joga sua eth0 na internet e sua eth1 na rede... e deixa o iptables cuidando das necessidades... bridge sux !!! ok ???