Firewall não faz o redirect !!!

[GuE]

Boa tarde pessoal preciso implemnetar uma regra de vnc e xdmcp foi criada porem não acessa as maquinas da rede local..
Segue o firewall, tem algo fora de ordem ?

#Ativando Nat
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Limpando configurações anteriores"
iptables -F

#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT

#LIBERA UOL
iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

#LIBERA VNC
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5900 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.1.30

#REDIRECT INTERNET PRO SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionamento XDMCP remote desk
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 177 -j DNAT --to-dest 192.168.1.5
iptables -A FORWARD -p udp -i eth1 --dport 177 -d 192.168.1.5 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp --sport 177 -j DNAT --to-dest 192.168.1.5
iptables -A FORWARD -p udp -i eth1 --sport 177 -d 192.168.1.5 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

#Rede Local Free
iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -j ACCEPT

#Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP


Grato...

[srg38]

Vc rodou um iptraf pra ver se todo mundo está batendo na porta certa ?

Se estiver, penso q vc está usando uma regra de saída com um sport (source/entrada) -- isso conflita tudo.

Ñ esqueça q o iptables é sequencial, vc precisa colocar as regras na ordem dos fatos.

Sérgio

[GuE]

Então rodei o iptraf nada de anormal, estou usando debian 4, será que tem algo de errado nas regras ou ordem ?

[GuE]

Estranho mesmo não sendo da interface de Internet a eth1 criei uma regra so da rede interna e não pega fiz a seguinte regra...

iptables -A FORWARD -i eth0 -p tcp --dport 3900 -d 192.168.1.30 -j ACCEPT

Oque eu posso estar fazendo de errado ou preciso carregar algum modulo ?

[galahad]

tá faltando só uma regra de INPUT para permitir que o cliente externo conecte ao firewall nestas portas e possa então ser redirecionado para a máquina interna.

Uma outra observação, você está colocando a regra de masquerade como a primeira regra do teu firewall, eu te aconselho a colocar como a última. E, na hora da limpeza das regras anteriores, você não está limpando a tabela nat. Se der um iptables -t nat -L -n -v, deve aparecer um monte de regras desnecessárias.