Pessoal tenho um firewall.
eth0 = rede externa
eth1 = rede interna
para liberar a porta 80 , na rede interna eu uso o forward certo ?
e os pacotes da rede interna para meu firewall é input ?
e output n tem para rede interna ?
Versão Imprimível
Pessoal tenho um firewall.
eth0 = rede externa
eth1 = rede interna
para liberar a porta 80 , na rede interna eu uso o forward certo ?
e os pacotes da rede interna para meu firewall é input ?
e output n tem para rede interna ?
Caro,
lendo o conteudo de http://focalinux.cipsga.org.br/guia/...w-iptables.htm vc nao se questionara mais.
:good:
Realmente eu li, mas fiquei um pouco confuso com a minha pergunta...
Leia novamente o guia foca
Pesquise em topicos antigos ae no forum.
Faça testes ae.
realmente eu não tenho possibilidade para fazer testes, pois o modem está longe do pc com linux.
Amigo, talvez isso te ajude:
a cadeia INPUT controla oq ENTRA no firewall (no caso o servidor linux), ex: pacotes vindos da Internet com destino ao servidor
a cadeia FORWARD controla oq PASSA pelo firewall (ex: pacotes vindos da rede interna com destino à Internet).
a cadeia OUTPUT controla oq SAI do servidor, ex: um pacote gerado no proprio servidor com destino à Internet.
Mais detalhes tem q dar uma lida no material que tem na web... o guia Foca é um dos melhores.
flw??
T+
muito obrigado
estava achando que o forward era para o server tb....
acho que ficou claro agora
Sai do server com destino para internet = OUTPUT
Rede Interna para o Server = INPUT
Rede Externa para o server = INPUT tb.
Rede Interna para internet = FORWARD
Mais uma perguntinha: :good:
Então toda porta que eu liberar no forward para rede interna e não especificar um certo ip, ela será considerada para todos os micros da rede interna ?
Obrigado :clap:
Isso mesmo!Citação:
Postado originalmente por Anonymous
Por exemplo:
Falow!! :good:Citação:
LAN=192.168.0.0/24
IFACE=ppp0
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT (regra para todos os hosts da rede)
iptables -A FORWARD -o $IFACE -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT (regra apenas para o ip 192.168.0.10)
realmente agora ficou bem claro.
Essa semana vou colocar o micro como gateway e tirar um dia para testes.
Muito Obrigado
Gsiena, estou lendo o guia focalinux na parte do iptables também. Mas essa explicação sua me ajudou bastante mesmo. Eu também não conseguia diferenciar INPUT, FORWARD e OUTPUT. Se puderes dar uma palhinha sobre o PREROUTING E POSTROUTING , seria legal.Citação:
Postado originalmente por gsiena
Valeus amigo. Brigadão mesmo .....
bom, vamos tentar, apesar q do PREROUTING E POSTROUTING ainda preciso me aprofundar mais.
nat - Usada para dados que gera outra conexão (masquerading, source nat, destination nat, port forwarding, proxy transparente são alguns exemplos). Possui 3 chains padrões:
PREROUTING - Consultado quando os pacotes precisam ser modificados logo que chegam. É o chain ideal para realização de DNAT e redirecionamento de portas, ex: vc tem um router Linux com IP 200.201.202.203 e um micro em sua rede local com ip 192.168.0.1, rodando um servidor web. como os micros de fora da sua rede (os micros na internet) vao enxergar o 192.168.0.1, se ele nao é um ip roteavel na internet? ai entra o PREROUTING... os micros na Internet vao acessar seu servidor web pelo ip 200.201.202.203... vai cair no router, e ele atraves de uma regra PREROUTING vai redirecionar essa conexao pro ip 192.168.0.1... isso chama-se redirecionamento de porta ou ip
POSTROUTING - Consultado quando os pacotes precisam ser modificados após o tratamento de roteamento. É o chain ideal para realização de SNAT e IP Masquerading. o POSTROUTING faz exatamente o inverso do PREROUTING... vamos supor q vc tenha o mesmo router Linux anterior com IP 200.201.202.203 e um micro dentro de sua rede com ip invalido na internet (192.168.0.1), e nesse micro interno vc precisa acessar a internet ... como vc vai enxergar a internet se nao tem um ip valido para a mesma? ai entra o POSTROUTING...o micro com ip invalido envia uma conexao pro router Linux... este examina o pacote e "transforma" a origem do pacote como 200.201.202.203, fazendo assim o micro da rede acessar normalmente a internet.. isso chama-se NAT (Network Address Translation)
olhe o exemplo pra vc entender melhor:
PREROUTING
internet ----> router Linux ----> estação
200.201.202.203 192.168.0.1
POSTROUTING
estação -------> router Linux ----> internet
192.168.0.1 200.201.202.203
acho q ficou meio confuso :P ve se da pra entender, qualquer coisa poste novamente.
Abraço!
GabrieL
Gsiena, mas uma vez obrigado.
Sei que essas explicações tem no guia focalinux. O problema é que lá o texto é colocado de uma forma um tanto técnica e fica difícil visualizar a explicação.
E o seu texto foi de forma simples e direta.
Valeu mesmo. Um grande abraço ..... :clap: :clap: :clap: :good:
Precisando estamos na area (H)
faloww
Tem uns scripts de firewall que foram colocados em uns posts anteriores.
De uma olhada neles.
Assim fica mais facil para ver como funciona as regras.
E sempre que possivel teste elas ae.