Dúvida arquivo iptables

**morronix** · 20-08-2009, 08:59

Srs. bom dia!

Assumi a área de TI da empresa em que trabalhava, como consultor, e agora tenho que trabalhar como gente grande, e estou com uma dúvida em um arquivo de configuração de firewall. Ele tem uma sintaxe diferente das regras de firewall, gostaria de apresentá-lo a voces:

praxis-sz:~# nano /var/lib/iptables/active
GNU nano 2.0.2 File: /var/lib/iptables/active
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE
##REDIRECIONAMENTO LICENCESERVER MICROSIGA
#[0:0] -A PREROUTING -p tcp -m tcp --dport 5555 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
## Acesso Externo ao Microsiga
[0:0] -A PREROUTING -p tcp -m tcp --dport 8110 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
[0:0] -A PREROUTING -p tcp -m tcp --dport 4020 -d x.x.x.x -j DNAT --to-destination 10.10.10.254
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

O que ocorre é que eu não sei de onte tiraram esses [0:0] , os *filter,*mangle

Por que estou perguntando isto:

Não estou mais, depois de um pico de energia, fazer com que estas regras se apliquem no iptables. Já reinstalei ele, e nada..

**Lincoln** · 20-08-2009, 16:40

Código :

iptables -t nat -A PREROUTING -j ACCEPT
iptables -t nat -A POSTROUTING -j ACCEPT
iptables -t nat -A OUTPUT -j ACCEPT 
iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE
 
##REDIRECIONAMENTO LICENCESERVER MICROSIGA
#iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5555 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
## Acesso Externo ao Microsiga
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8110 -d x.x.x.x -j DNAT --to-destination 10.10.10.240
iptables -t nat  -A PREROUTING -p tcp -m tcp --dport 4020 -d x.x.x.x -j DNAT --to-destination 10.10.10.254
 
 
iptables -t mangle -A PREROUTING -j ACCEPT 
iptables -t mangle -A INPUT -j ACCEPT 
iptables -t mangle -A FORWARD -jACCEPT 
iptables -t mangle -A OUTPUT -j ACCEPT 
iptables -t mangle -A POSTROUTING -j ACCEPT
 
 
iptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT

[0:0]

esdruxulamente falando [ 0:0 ] quer dizer todos!!!
mas se vc naum especificar no iptables ele reconhece como todos mesmo hehe!!!

copie em um novo arquivo de permissão de execução e manda bala... depois posta se deu certo!

**Magnun** · 21-08-2009, 10:23

O [0:0] indica os contadores daquela chain/tabela. Esse output é gerado pelo comando iptables-save. Ele deve ser utilizado da seguinte forma:
# iptables-save > backup_regras.rules

Para restaurar esse backup salvo no arquivo backup_regras.rules você tem que utilizar o comando iptables-restore da seguinte forma:
# iptables-restore < backup_regras.rules

Pronto, você re-estabeleceu seu firewall. Qualquer dúvida posta ai.

Até mais...

**Lincoln** · 21-08-2009, 10:37

Postado originalmente por Magnun

O [0:0] indica os contadores daquela chain/tabela. Esse output é gerado pelo comando iptables-save. Ele deve ser utilizado da seguinte forma:
# iptables-save > backup_regras.rules

Para restaurar esse backup salvo no arquivo backup_regras.rules você tem que utilizar o comando iptables-restore da seguinte forma:
# iptables-restore < backup_regras.rules

Pronto, você re-estabeleceu seu firewall. Qualquer dúvida posta ai.

Até mais...

hehe,
achava que era do -s e do -d que quando não sao especificados eram ignorados... heheh

bom saber...

**morronix** · 25-08-2009, 03:58

Caramba Magnun, matou a pau hein véio, dei um iptables-restore < nome do arquivo e em seguida de i um iptables -L, e nào apareceu nenhuma regra na lista. Isto eh normal?

**Magnun** · 25-08-2009, 08:06

Não, deveria ter aparecido as regras normalmente. O iptables-restore não emitiu nenhuma mensagem de erro??

Até mais...

**Lincoln** · 25-08-2009, 10:31

cara...
e o que eu te passei... chegou a fazer ??

copiar num arquivo dar permissão de execução e executa-lo ???
aqui funcionou!!!

**morronix** · 25-08-2009, 12:02

Postado originalmente por Magnun

Não, deveria ter aparecido as regras normalmente. O iptables-restore não emitiu nenhuma mensagem de erro??

Até mais...

praxis-sz:/var/lib/iptables# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
praxis-sz:/var/lib/iptables# iptables-restore < /var/lib/iptables/active
praxis-sz:/var/lib/iptables# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
praxis-sz:/var/lib/iptables#

Cara.. aparentemente nada...meu conhecimento de iptables é mínimo, mas um iptables -L exibe as regras aplicadas, certo?

abraço!

**morronix** · 25-08-2009, 12:07

Postado originalmente por Lincoln

cara...
e o que eu te passei... chegou a fazer ??

copiar num arquivo dar permissão de execução e executa-lo ???
aqui funcionou!!!

entao, olhe um exemplo de uma regra onde eu troco o [0:0] por iptables:

iptables -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE

iptables: No chain/target/match by that name

O mesmo acontece com todas as demais regras... isso se eu trocar o [0:0] pelo iptables..

**galahad** · 25-08-2009, 12:08

morronix,

pelo arquivo que você passou, só existem três regras nesse firewall e as três estão na tabela nat. Tente o seguinte comando:

Código :

# iptables -t nat -L -n -v

**morronix** · 25-08-2009, 12:21

fala galhad... acho que já te ajudei com alguma cois ahá algum tempo...hhehehehe

cara, olha agora, aparentemente tem regras que foram aplicadas sim...

praxis-sz:/var/lib/iptables# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 158 packets, 12277 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 x.x.x.x tcp dpt:xxx to:10.10.10.240
0 0 DNAT tcp -- * * 0.0.0.0/0 x.x.x.x tcp dpt:xxx to:10.10.10.254

Chain POSTROUTING (policy ACCEPT 34 packets, 2768 bytes)
pkts bytes target prot opt in out source destination
97 4832 MASQUERADE 0 -- * * 10.10.10.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 31 packets, 2540 bytes)
pkts bytes target prot opt in out source destination
praxis-sz:/var/lib/iptables#

Confesso que já deveria há mto tempo saber como funfa o iptables, mas fiquei parado por mais de 1 ano e meio, agora q eu to retomando isto..paciencia..heheh

**Magnun** · 25-08-2009, 12:30

Bem lembrado galahad!

Eu nem havia me tocado que as regras dele eram na tabela NAT!

**galahad** · 25-08-2009, 15:27

Pois é morronix... essas são as únicas regras que existem no firewall iptables. Não tem mais nada naquele arquivo.

Até!

**Lincoln** · 26-08-2009, 09:24

Postado originalmente por morronix

entao, olhe um exemplo de uma regra onde eu troco o [0:0] por iptables:

O mesmo acontece com todas as demais regras... isso se eu trocar o [0:0] pelo iptables..

opa...

Código :

iptables -t nat -A POSTROUTING -s 10.10.10.0/255.255.255.0 -j MASQUERADE

vc tem que especificar a tabela caso nao seja a "filter"

**morronix** · 11-09-2009, 14:50

Srs. Mais uma vez obrigado a todos. No demais tenho q estudar o iptables para poder conversar com vcs.. mas obrigado mesmo pela força que me deram, abraço!

Dúvida arquivo iptables

Ferramentas de Tópicos

Dúvida arquivo iptables[RESOLVIDO]