redirecionamento para servidor web

[slaxpunk]

Eu estou tentando criar um firewall mas quando termino nao funciona mais nada hehe =p
A rede está assim ; Servidor de rede / gateway 192.168.0.1 - Servidor Web 192.168.0.10
Eu nao queria bloquear nada , só quero que os pacotes com destino a porta 80 sejam redirecionados para o servidor web , que esta em outra maquina na rede - nem sei se é isso , vou ser mais direto [quero que o servidor web seja acessado , mas sempre que entramos com o endereço , DNS , acabamos caindo no servidor de rede =/ por este ser o gateway].Tbem tenho outra duvida.Pelo que eu li , na maioria dos exemplos estes pacotes são redirecionados ao serviço squid ... então como vai ficar isso , visto que em nossa empresa temos este serviço rodando no servidor de rede?

[Patrick]

use a seguinte regra de iptables

$IPTABLES -t nat -A PREROUTING -i $INTERFACE_EXTERNA -d $IP_EXTERNO_DO_FIREWALL -p tcp --dport 80 -j DNAT --to-destination $IP_DO_SERVER_WEB

o que tem $ na frente é variavel...
a regra fica assim por exemplo:

iptables -t nat -A PREROUTING -i eth0 -d 200.200.200.200 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10

falous

[Narusegawa]

legal , tbem estava querendo fazer algo do tipo , e queria exatamente apenas isso
posso criar um iptables apenas com esta regra?ja vai funcionar?depois da regra criada precisa de algum comando para rodar o firewall?obrigada =^^=

[slaxpunk]

Bem , tdo o q consegui fazer foi isso
Do jto q está , tudo funciona , menos o servidor web , q está em 192.168.0.10
O q eu preciso fazer?tenho q abrir mao do squid para mandar o iptables encaminhar os pacots para 80 p meu servidor 192.168.0.10??
***************************************************************************************
Meu iptables
***************************************************************************************
Tabela: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Tabela: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 REDIRECT tcp -- 192.168.0.0/24 !200.201.174.0/24 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination


*************************************************************
Meu squid.conf
*************************************************************
http_port 3128
visible_hostname XXX

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 256 MB
minimum_object_size 0 KB
cache_swap_low 85
cache_swap_high 90
cache_dir ufs /var/spool/squid 3072 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl almoco time 12:00-14:00
http_access allow almoco

acl proibido dstdom_regex "/etc/squid/blocked"
http_access deny proibido

acl bloqueados dstdomain orkut.com orkut - Login playboy.abril.com.br
youtube.com YouTube - Broadcast Yourself.
http_access deny bloqueados

acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal

acl download url_regex -i ftp .mov .mpeg .wav .tar .mp3 .exe .zip .rar

acl livre src 192.168.0.3


delay_pools 1 #2
delay_class 1 2

delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow livre

#delay_class 2 2

#delay_parameters 2 3000/3000 3000/3000
#delay_access 2 allow almoco
#delay_access 2 deny !almoco

http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

[Patrick]

use a regra como eu falei acima que vai funcionar...

"iptables -t nat -A PREROUTING -i eth0 -d 200.200.200.200 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10"

esse masquerade voce faz apenas do que ta saindo da sua interface externa, por exemplo:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

eu tenho isso funcionando.

falous

[slaxpunk]

Patrick , deu tudo certo . Fiz conforme a sua dica e ta sussa cara
Eu demorei p perceber pq de dentro da empresa nao conseguia acessar o servidor web , mas qm esta fora acessa sussa
Mto obrigado , o servidor web está ok
Abraço \o/