Redirecionamento de portas no Iptables

[robertofl]

Pessoal,

Já li vários manuais, tentei de tudo, mas não estou conseguindo redirecionar portas no Iptables. Dando um exemplo, quero que uma máquina se conecte na porta 24 de outra e essa outra redireciona para a porta tcp 22 de um servidor SSH. Como ficariam essas regras??? Estou tentando fazer com um script bem simples de firewall para aprender o conceito, depois vou melhorando até aprender a implementar. Esse script segue abaixo:

#! /bin/sh
echo "Iniciando as regras de firewall..."
# ACOES PADRÃO E EXCLUSAO DE REGRAS EXISTENTES
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
#
# PERMITINDO REDIRECIONAMENTO DE PACOTES
echo "1" > /proc/sys/net/ipv4/ip_forward
#
#PERMITINDO CONEXOES JA ESTABELECIDAS
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# PERMITINDO APLICATIVOS QUE USAM CONEXOES LOOPBACK
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
#
# REDIRECIONAMENTO DO SSH
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.199 -p tcp --dport 24 -j DNAT --to-destination 192.168.0.4:22
iptables -t nat -A POSTROUTING -s 192.168.0.4 -d 192.168.0.129 -p tcp --dport 24 -j SNAT --to 192.168.0.199:24

[Lion_Black]

o parametro -i eth0 nao poderia ser -i eth1?

[robertofl]

é que nesse caso, essa máquina só tem uma placa de rede..... tou fazendo isso em uma máquina virtual

[Lion_Black]

nao entendi ...
sao quantos computadores na sua rede ?

[romeudu]

Amigo tenta assim :


$iptables -t nat -A PREROUTING -p tcp -m multiport -s <IP DE ORIGEM> -d <IP DE DESTINO> --dport 24 -j REDIRECT --to-port 22


Flw
T+
:clap:

[robertofl]

é o seguinte: depois vou implementar isso em um servidor Firewall (com duas placas de rede) para redirecionar a porta 80 do servidor web para outro servidor em uma DMZ...

Porém, antes disso, quero aprender a sintaxe e testar um redirecionamento para ver se funciona.... Não quero implementar no servidor em produção antes de testar. .... então estou testando em uma máquina virtual VMWare com Slackware.....


Vale citar uma coisa... usando o tcpdump, pude ver que o redirecionamento foi feito, pois aparecem as portas em questão e os hosts certos.. está faltando alguma coisa
Obrigado pela atenção,.,.... Vlw...

[romeudu]

Ok

[Lion_Black]

da uma olhada na man do iptables e verifica se o parametro -i trabalha com a interface lo

[robertofl]

pq interface lo???? no meu teste, no iptables eu quero redirecionar para o SSH de Outra máquina, não da mesma... i

[romeudu]

é o seguinte: depois vou implementar isso em um servidor Firewall (com duas placas de rede) para redirecionar a porta 80 do servidor web para outro servidor em uma DMZ...

Porém, antes disso, quero aprender a sintaxe e testar um redirecionamento para ver se funciona.... Não quero implementar no servidor em produção antes de testar. .... então estou testando em uma máquina virtual VMWare com Slackware.....


Vale citar uma coisa... usando o tcpdump, pude ver que o redirecionamento foi feito, pois aparecem as portas em questão e os hosts certos.. está faltando alguma coisa
Obrigado pela atenção,.,.... Vlw...

Amigo olha no log e ve o q o seu iptables esta bloqueando!!...
Ai fica facil de resolver

[Lion_Black]

mas nao esta tudo no mesmo computador?

olha .;. pode implementar direto isso .... vc pega o script de firewall do seu servidor e faz backup dele... depois edita ele.. adiciona a regra referente ao redirecionamento .... se der pau .. vc restaura o backup do seu firewall

[rabbarros]

# REDIRECIONAMENTO DO SSH
#aceita na porta 2022, prefiro usar as portas altas
iptables -A INPUT -i eth0 -p tcp --dport 2022 -j ACCEPT
#redireciona o ssh
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.199 --dport 2022 -j DNAT --to-destination 192.168.0.4:22
#faz um SNAT par que todas as saidas dos "4" saiam por "199"
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.4 -j SNAT --to 192.168.0.199

espero ter ajudado

[robertofl]

Mas eu coloco essas regras de redirecionamento antes das regras de MASQUERADE no meu firewall?????

[romeudu]

Mas eu coloco essas regras de redirecionamento antes das regras de MASQUERADE no meu firewall?????

Amigo a ordem das regras no script nw importa pois depois o iptables coloca elas na ordem automaticamente.

[morenocm]

Amigos!
Apenas lembro que é um erro comun nao colocarmos as regras a ordem certa! Sim! Regras no Iptables tem ordem certa,esta é a diferença de um profissional qualificado de um nao qualificado.
Se vc quer apenas fazer um redirecionamento .....
no teu script esta tudo aberto!! Nao acho isto legal! Mas...
Considerando isto tem apena que usar a regra de DNAT !
vc tem uma maquina 192.168.1.1 quer dar um ssh em 192.168.1.15:24 e que seja direcionado para 192.168.1.30:22

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 24 -j DNA --to-destination 192.168.30.1:22

nao precisa liberar FORWARD nem INPUT pois ja esta como politica ACCEPT

Neste caso o pacote esta na mesma rede,na pratica vc vai estar usando MAsQUERADE que vai trocar o ip de origem para um IP valido e fazer o pacote voltar ao destino estabelecendo comunicação.
mas vc pode forçar isto para um determinado IP usando o POSTROUTING como ja descrito pelos amigos.
Um abraço!

[robertofl]

Esse script está com ACCEPT nas chains por padrão apenas por testes... O meu oficial, segue a regra de trancar e depois ir liberando cada um dos serviços;

[godoyal]

Caro Amigo,

Baixe e instale o REDIR: REDIR_2_2_1_1_2_FC4_RF_I386.RPM

Depois vá no arquivo rc.local e edite desta forma:

redir --lport=porta_que_vc_quer --cport=porta_que_vc_quer --caddr=ip destino &

Faça isso em cada máquina de acordo com as características que você quer que deve funcionar.

Espero ter ajudado!

Grande Abraço,

Godoyal