Problemas com Firewall

[kjeldorano]

Bom dia para todos..
Estou tentando montar um firewall (iptables) onde trabalho, estou aprendendo, e estou tendo dificuldades.
O serviço que estou precisando é um redirecionamento de um acesso ao firewall na porta 80, para a porta 80 de um servidor com Apache rodando (escutando a porta 80)
Já olhei em varios topicos, mas não consigo fazer o redirecionamento.

Ativo o ip_forward

modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Logo após essa regra, tento o redirecionamento

iptables -t nat -A PREROUTING -i eth2 (interface externa) -p tcp --dport 80 -j DNAT --to 172.XXX.XXX.XXX:80

Pelo que entendi, essa linha de comando iria redirecionar para meu servidor o que entrasse pela eth2 destinado à porta 80, mas isso não está acontecendo!



Espero que me ajudem...
Já faz um tempo que estou tendo esse problema...

Obrigado.

[galahad]

Como é que estão as políticas padrão do seu iptables?

Como está a tabela de roteamento do seu firewall? Qual é o gateway padrão da sua rede?

Existe mais alguma regra no seu iptables?

[kjeldorano]

Bom, acho que ficou meio confuso minha pergunta
Vou falar mais um pouco como estou tentando fazer esse firewall
A maquina firewall possui 3 interfaces de rede, eth0 para rede interna, eth1 para o servidor de web e eth2 para internet
As politicas estão assim: INPUT DROP, FORWARD ACCEPT, OUTPUT ACCEPT
Tentei deixar a politica FORWARD DROP, mas ai não consigo acessar internet pela rede interna nem pelo servidor web.

Tenho as seguintes regras no meu firewall
iptables -A FORWARD -s $IP_SWEB -d $IP_INT -j ACCEPT
iptables -A FORWARD -d $IP_SWEB -s $IP_INT -j ACCEPT

iptables -A FORWARD -d $IP_SWEB -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $IP_SWEB -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth2 -m multiport -p tcp --dport ! 80,443 -j DROP

Regras de roteamento:
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB
iptables -t nat -A POSTROUTING -s $IP_SWEB -j SNAT --to $IP_EXT

Acho que essas são as regras mais importantes as outras são só de proteção contra ping ping of death e regras para acesso da Rede interna para o Servidor Web

Obrigado pela ajuda....

[galahad]

Seu problema está na seguinte regra:

Código :

iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB

ele só vai redirecionar para o servidor web o que vier do IP_EXT, ou seja, nada! Troca o -s para -d que deve funcionar.

[kjeldorano]

Valeu pela dica, funcionou sim, o redirecionamento ocorreu!
Obrigado