Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão

    Pessoal vcs tem certeza que p/ pegar o dnat essas coisas p/ redirecinar porta o default gateway não precisa ser a maquina firewall solicitante ? Pois tenho o cenario a cima que o cisco é o gateway dos servers

    Pq to fazendo tudo igual mudo aqui acrescento ali e não pega de nenhuma forma nenhuma porta, ma maquina 192.168.1.250 esta input pra porta 22 vc podem testar o ip valido dela é ssh 200.228.110.4

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando configurações anteriores"
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT

    #LIBERA UOL
    iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    #SSH
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to 192.168.1.250:22
    iptables -A FORWARD -p tcp --dport 22 -d 192.168.1.250 -J ACCEPT

    #DNS
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp --sport 53 -j ACCEPT

    #Rede Local Free
    iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP

    #Mascara
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    Última edição por GuE; 23-10-2008 às 15:12.

  2. #22

    Padrão

    Cara, seguinte. Deixa eu te explicar o que acontece.

    Vamos pegar a seguinte estrutura:
    Código :
                                    |---Firewall
    Internet--Router--|
                                    |---FTP

    Router com o IP 200.0.0.254/24, Firewall com o IP 200.0.0.1/24 (gateway 200.0.0.254) e FTP com o IP 200.0.0.2/24, (gateway 200.0.0.254). Vamos supor qua a origem do pacote seja 200.200.200.200/24.


    Vou explicar o que acontece passo a passo:

    Quando o host de origem gera o pacote ele contem os campos IP de origem e IP de destino da seguinte forma:
    origem: 200.200.200.200/24
    destino: 200.0.0.1/24

    Esse pacote vai chegar no seu router e seu router vai encaminhar esse pacote pro firewall (200.0.0.1/24). Quando esse pacote chegar no firewall ele vai fazer o DNAT. O "novo" pacote ficará assim:
    origem: 200.200.200.200/24
    destino: 200.0.0.2/24

    O firewall vai encaminhar esse pacote pro FTP. Quando o FTP receber esse pacote ele vai processar e responder. Quando ele responder ele vai gerar o pacote da seguinte forma:
    origem: 200.0.0.2/24
    destino: 200.200.200.200/24

    O FTP vai encaminhar esse pacote pro router já que a rede de destino (200.200.200.0/24) não é a mesma rede que a dele (200.0.0.0/24). Ao chegar no destino o pacote será analisado e descartado, pois a conexão foi aberta entre os hosts 200.200.200.200 e 200.0.0.1 e não entre o 200.200.200.200 e o 200.0.0..2 como é mostrado no cabeçalho do pacote.


    Agora esse mesmo cenário utilizando o SNAT e o DNAT.
    Os primeiros passos são o mesmo mas ao chegar no firewall o pacote será nateado e enviado para o FTP da seguinte forma:
    Origem: 200.0.0.1
    Destino: 200.0.0.2

    Isso se deve ao nat de origem e destino. Quando o FTP receber essa requisição ele vai tratar e devolver pra origem que é 200.0.0.2 (firewall). O firewall por sua vez vai desfazer o nat e devolver esse pacote pro 200.200.200.200 da seguinte forma:
    Origem: 200.0.0.1
    Destino: 200.200.200.200

    Ao receber esse pacote a origem vai concluir a conexão e os dados serão trafegados seguindo a mesma lógica.

    Esse é o motivo de usar SNAT. Caso não queira usar SNAT te recomendo colocar esse FTP atrás do firewall com um IP não válido. Dessa forma só é necessário o DNAT e as documentações das conexões serão feitas proriamente.

    Espero ter sido claro...
    Qualquer dúvida posta ai..
    Até mais.

  3. #23

    Padrão

    Sim isso eu sei, mais oque não acontece é meu firewall recebe a requisição ftp (server 1 - ip valido rede 200.228) ele esta fazendo o dnat para o ip não valido do server 2 192.168.1.250 mais não acontece nada, pois o gateway do server 2 é o cisco, mesmo o gateway dos server 1 e 2 sendo o cisco não teria problema no dnat ? pois ele entra pela rede local ae quando ele vai devolver o pacote ele não manda pro default gateway ? as regras do firewall esta acima oque pode ter de errado ? Eu consigo apontando o gateway pro server 1, mais como vcs falam que tem como sem apontar pro server 1
    Última edição por GuE; 24-10-2008 às 14:19.