Iptables - Forward Vs. Nat
Olá pessoal da Underlinux...
gostaria de pedir uma ajuda com o iptables, se possível é claro...
eu tenho algumas regras que funcionam perfeitamente (quase) com o iptables, que eu necessito alterar, mas quando resolvo um problema encontro outro.
Com estas políticas padrão:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
toda máquina que digitar \\192.168.1.20 no ambiente de rede consegue acessar essa máquina, resolvi esse problema mudando o FORWARD ACCEPT pra FORWARD DROP...
aí entra o outro problema:
a máquina 192.168.1.20 navega (navegava) sem proxy com a seguinte regra:
iptables -t nat -A POSTROUTING -s 192.168.1.20 -o eth1 -j MASQUERADE
porém quando eu mudo o FORWARD ACCEPT para o FORWARD DROP isso não é mais possível, e realmente eu preciso que essa máquina não passe pelo proxy mas também não esteja visível a outras redes.
Se alguém puder colaborar, agradeço desde já...
Estarei disposto a mais esclarecimentos se presisarem.
Iptables - Forward Vs. Nat
vc precisa dessa regra tbm
iptables -A FORWARD -s 192.168.1.20/32 -j ACCEPT
altere sua regra
iptables -t nat -A POSTROUTING -s 192.168.1.20/32 -o eth1 -j MASQUERADE
procure fechar as mascaras
acho q vc devia dar uma lida em http://iptables.under-linux.org/
[]'s
Iptables - Forward Vs. Nat
valew demiurgo vou testar e já te mando a resposta
Iptables - Forward Vs. Nat
cara, quanto a qustão das máscaras foi um erro meu, mas elas estão todas fechadas (192.168.1.20/24), mas a nova regra não funcionou, eu vou fazer mais uns testes amanhã e esperar pra ver se alguém tem mais alguma sugestão...
Grato pela ajuda
Iptables - Forward Vs. Nat
192.168.1.20/24 nao define nenhuma rede, apenas indica que o host .20 pertece a rede 192.168.1.0
quando voce for se referir a uma rede por favor use o ip de subrede ... eh o correto a se fazer, no seu caso:
192.168.1.0/24 ou /255.255.255.0
Iptables - Forward Vs. Nat
192.168.1.20/32 seria soh pra um host
lembra d colocar a regra d DROP antes da ACCEPT
ou tenta inverter a ordem... sei lah... deve ser isso!!!
[]'s
Iptables - Forward Vs. Nat
A idéia é exatamente esta, liberar somente a uma máquina, não para um segmento de rede completo, mas não adianta eu colocar a accept antes pq a FORWARD é uma regra padrão (-P), eu pensei em deixar como FORWARD ACCEPT e depois ir fechando origem e edetino... concertexa é bem mais trabalhoso, mas por enquanto é o que possa resolver meu problema.
espero que funcione...
valew pelas dicas