+ Responder ao Tópico



  1. #1
    arnaldoestevao
    Visitante

    Padrão Dúvidas triviais porem crueis com iptables

    Slackware 11.0
    Kernel 2.4.33.3

    Ola tenho o seguinte script para que meus usuarios acessem ainternet

    #--wan
    ifconfig eth0 200.241.186.138 netmask 255.255.255.192
    ifconfig eth0:1 200.241.186.139 netmask 255.255.255.192


    #-vlans
    ifconfig eth1 up
    vconfig add eth1 2
    vconfig add eth1 3

    #lan
    ifconfig eth1.2 192.168.2.254
    ifconfig eth1.3 192.168.3.254

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 200.241.176.138
    iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to 200.241.176.139

    ate ai tudo ok, tudo funcionando blz, so que eu nao quero
    que a rede 192.168.2.0 enchergue a rede 192.168.3.0
    alguem ai me da uma mao com o iptables,
    um link, um tuto ....
    rápido urgente senao eu to f..

  2. #2

    Padrão Regras

    Tente isto:

    iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP
    iptables -A FORWARD -d 192.168.2.0/24 -s 192.168.3.0/24 -j DROP

    O DROP pode ser substituido por REJECT.

    Deveria funcionar. Informe o resultado.

  3. #3

    Padrão

    Citação Postado originalmente por arnaldoestevao Ver Post
    Slackware 11.0
    Kernel 2.4.33.3

    Ola tenho o seguinte script para que meus usuarios acessem ainternet

    #--wan
    ifconfig eth0 200.241.186.138 netmask 255.255.255.192
    ifconfig eth0:1 200.241.186.139 netmask 255.255.255.192


    #-vlans
    ifconfig eth1 up
    vconfig add eth1 2
    vconfig add eth1 3

    #lan
    ifconfig eth1.2 192.168.2.254
    ifconfig eth1.3 192.168.3.254

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 200.241.176.138
    iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to 200.241.176.139

    ate ai tudo ok, tudo funcionando blz, so que eu nao quero
    que a rede 192.168.2.0 enchergue a rede 192.168.3.0
    alguem ai me da uma mao com o iptables,
    um link, um tuto ....
    rápido urgente senao eu to f..
    As duas redes estão no mesmo switch ???

    Falow ...

  4. #4
    arnaldoestevao
    Visitante

    Padrão

    Citação Postado originalmente por rootmaster Ver Post
    As duas redes estão no mesmo switch ???

    Falow ...
    Estão sim, mas estao separadas por VLANS

  5. #5
    arnaldoestevao
    Visitante

    Padrão

    Citação Postado originalmente por aldoir Ver Post
    Tente isto:

    iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP
    iptables -A FORWARD -d 192.168.2.0/24 -s 192.168.3.0/24 -j DROP

    O DROP pode ser substituido por REJECT.

    Deveria funcionar. Informe o resultado.
    Amigo obrigado voce ja ajudou um caminhão de areia ,mas na realidade
    no momento eu ja tenho 10 rede 192.168.x então ficai muito extenso o script de bloqueio (mesmo assim eu perdi duas horas construindo a massaroca ), voce sabe se tem como especificar scopo no iptables ? tipo:

    iptables -A FORWARD - 192.168.2.0/24 -d 192.168.2.254 -j ACCEPT
    iptables -A FORWARD -s 192.168.*.0/24 -d 192.168.2.0/24 -j DROP

    a proposito qual a sequncia das regras do iptables ALLOW, DENY ou DENY,ALLOW ?

  6. #6

    Exclamation É isso???

    Citação Postado originalmente por arnaldoestevao Ver Post
    Amigo obrigado voce ja ajudou um caminhão de areia ,mas na realidade
    no momento eu ja tenho 10 rede 192.168.x então ficai muito extenso o script de bloqueio (mesmo assim eu perdi duas horas construindo a massaroca ), voce sabe se tem como especificar scopo no iptables ? tipo:

    iptables -A FORWARD - 192.168.2.0/24 -d 192.168.2.254 -j ACCEPT
    iptables -A FORWARD -s 192.168.*.0/24 -d 192.168.2.0/24 -j DROP

    a proposito qual a sequncia das regras do iptables ALLOW, DENY ou DENY,ALLOW ?
    A regra
    iptables -A FORWARD -s 192.168.*.0/24 -d 192.168.2.0/24 -j DROP
    ficaria
    iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.2.0/24 -j DROP
    mas iria bloquear 192.168.2.0 a não ser que você use seu exemplo
    iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.2.0/24 -j ACCEPT
    (tudo que vem de e vai para 192.168.2.0/24 - aceitar)
    ou
    iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.2.254/24 -j ACCEPT
    (tudo que vem de 192.168.2.0 e vai para 192.168.2.254 - aceitar * achei estranho esta regra)
    antes, isto é, libere primeiro o que você quizer e depois bloqueie o resto.
    Isto já responde a sua segunda pergunta, isto é, o iptables atende às regras na ordem em que elas foram informadas. Se você quizer pode colocar uma regra no inicio da file substitua o -A por -I (iptables -I ....). Atenção: 3 regras com -I iria ordenar assim:
    iptables -I ... (terceira regra -I inserida)
    iptables -I ... (seginda regra -I inserida)
    iptables -I ... (primeira regra -I inserida)
    iptables -A ... (primeira regra -A inserida)
    iptables -A ... (segunda regra -A inserida)
    iptables -A ... (terceira regra -A inserida)
    etc....
    Todas as regras no iptables recebem um número e voce pode inserir uma regra usando a ordem numerica (tipo inserir na posição 5). Veja em man e leia o iptables howto.

  7. #7
    arnaldoestevao
    Visitante

    Padrão Obrigadao !

    Valeu Obrigadão !

    uma dúvida

    iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.2.0/24 -j DROP

    voce estaria pedidondo para bloquear qualquer pacote entrante
    que tivesse os dois primeiros octetos iguais a
    11000000.10101000 ?

    essa regra seria igual a

    iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.2.0/24 -j DROP ?


    Voce cohce algum link legal sobre este assunto , os que eu tenho lido não chegam neste nível de detalhamento ?

  8. #8
    arnaldoestevao
    Visitante

    Padrão

    Citação Postado originalmente por aldoir Ver Post
    o iptables atende às regras na ordem em que elas foram informadas. Se você quizer pode colocar uma regra no inicio da file substitua o -A por -I (iptables -I ....). Atenção: 3 regras com -I iria ordenar assim:
    iptables -I ... (terceira regra -I inserida)
    iptables -I ... (seginda regra -I inserida)
    iptables -I ... (primeira regra -I inserida)
    iptables -A ... (primeira regra -A inserida)
    iptables -A ... (segunda regra -A inserida)
    iptables -A ... (terceira regra -A inserida)
    etc....
    Todas as regras no iptables recebem um número e voce pode inserir uma regra usando a ordem numerica (tipo inserir na posição 5). Veja em man e leia o iptables howto.
    Saquei ele funciona igual a um bloco if , elseif, endif quando uma regra
    é satisfeita ele pura pra fora e não analisa as demais que estão abaixo
    blz !

  9. #9

    Padrão

    Citação Postado originalmente por arnaldoestevao Ver Post
    Valeu Obrigadão !

    uma dúvida

    iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.2.0/24 -j DROP

    voce estaria pedidondo para bloquear qualquer pacote entrante
    que tivesse os dois primeiros octetos iguais a
    11000000.10101000 ?

    essa regra seria igual a

    iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.2.0/24 -j DROP ?


    Voce cohce algum link legal sobre este assunto , os que eu tenho lido não chegam neste nível de detalhamento ?
    É isso ai. Seria
    iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d 192.168.2.0/255.255.255.0 -j DROP

    e também está certo o seu segundo comentário, isto é, quando um pacote se encaixa em uma regra, as outra regras são ignoradas desde que dentro do mesmo grupo. Ex. INPUT, OUPUT, FORWARD, PREROUTING, POSTROUTING, MANGLE.

    Um site muito bom para dicas e tutoriais é o Viva o Linux - Porque nós amamos a liberdade!. Você pode localizar os artigos por assunto. Tem muitos.
    Não deixe de ver tambem o Guia Foca Linux, escrito em português e muito abrangente.