iptables + dnat

**adritec** · 22-10-2008, 13:38

Olá pessoal,

Gostaria de fazer o seguinte, na minha rede tenho duas máquinas ruindows com rras ok, assim:

Host1: WIN + RRAS + 2 placas de rede (ip válido e interno)
Host2: WIN + RRAS + 2 placas de rede (ip válido e interno)

É possível colocar um host linux (red hat 9) com duas interfaces de rede, uma com uma terceira faixa de ip interno e a outra com um dos ip's validos?

Tem como alguém dar uma luz sobre como poderia implementar? Outra coisa na regra também gostaria de fazer o seguinte, só aceitar conexões vindas de um determinado ip válido de fora, tem como?

Valeu!

**ginvava** · 23-10-2008, 08:37

Opa, desculpa, mas eu não entendi uma coisa. Vc vai colocar o Linux atras do rras?
Eu não conheço a configuração de roteamento do rras. Mas no caso do linux é facil fazer o roteamento.
Se vc procurar vai achar scripts de firewall pronto na internet, precisando é claro dar uma adptada.
Quanto a aceitar conexões vinda de um ip valido de fora somente, é simples.
Defina no firewall a police INPUT como Drop.
ipatables -P INPUT DROP.
Isto faz com que nada entre no teu computador vindo de fora.
Ai vc vai abrindo os serviços que vc quer.

iptables -A INPUT -i interfaceipvalido -p protocolo -s ipvalidopermitido -dport porta -j ACCEPT.

A regra acima diz ao firewall pra aceitar o serviço que vem de fora do ip determinado.
se omitir a porta ele aceita tudo do ip valido.

Claro que é mais complexo que apenas estas regras, mas tudo é possivel.

**adritec** · 23-10-2008, 09:59

Opa, beleza.

Não, no caso o RRAS vai ficar atrás, atualmente ele tem uma interface com ip valido e a outra com ip interno, no caso ele ficará com duas interfaces mas as duas com ip interno.
Aí o linux vai ficar com duas interfaces, uma com ip valido e outra com um outro ip interno, aí o "cliente" vai continuar com a mesma configuração de conexão da vpn, apontando para o mesmo ip (que nesse caso será atribuído a uma das interfaces da maquina linux) e ela terá que redirecionar para o server RRAS.

Pois é, para bloquear tudo e liberar conexões vindas somente de um ip valido vi que é simples, só quanto a fazer esse redirecionamento para que todas conexões vindas para o ip valido da maquina linux e direcionar para o RRAS que ta mais dificil de entender.

**Magnun** · 23-10-2008, 11:13

Postado originalmente por adritec

Opa, beleza.

Não, no caso o RRAS vai ficar atrás, atualmente ele tem uma interface com ip valido e a outra com ip interno, no caso ele ficará com duas interfaces mas as duas com ip interno.
Aí o linux vai ficar com duas interfaces, uma com ip valido e outra com um outro ip interno, aí o "cliente" vai continuar com a mesma configuração de conexão da vpn, apontando para o mesmo ip (que nesse caso será atribuído a uma das interfaces da maquina linux) e ela terá que redirecionar para o server RRAS.

Pois é, para bloquear tudo e liberar conexões vindas somente de um ip valido vi que é simples, só quanto a fazer esse redirecionamento para que todas conexões vindas para o ip valido da maquina linux e direcionar para o RRAS que ta mais dificil de entender.

Cara, pra fazer oq vc quer vc vai usar a tabela NAT, chain PREROUTING. Aqui tem explicando: Guia Foca GNU/Linux - Firewall iptables

É bem tranquilo cara...
QUalquer coisa posta ai...

**ginvava** · 23-10-2008, 14:18

Simples, o cliente vai fechar a vpn com o linux, a partir dai vc cria um redirecionamento de todo trafego de entrar pela vpn, a vpn cria uma interface virtual, entao todo trafego desta interface redireciona pro windows.
vc fecha tudo no linux, abre apenas a porta que o vpn usa.
Como eu disse, criar o firewall e o roteamento é mais complexo, pois vai exigir conhecimento de iptables.
Mas é perfeitamente operacional. é pra isto que usamos um roteador.

Postado originalmente por adritec

Opa, beleza.

Não, no caso o RRAS vai ficar atrás, atualmente ele tem uma interface com ip valido e a outra com ip interno, no caso ele ficará com duas interfaces mas as duas com ip interno.
Aí o linux vai ficar com duas interfaces, uma com ip valido e outra com um outro ip interno, aí o "cliente" vai continuar com a mesma configuração de conexão da vpn, apontando para o mesmo ip (que nesse caso será atribuído a uma das interfaces da maquina linux) e ela terá que redirecionar para o server RRAS.

Pois é, para bloquear tudo e liberar conexões vindas somente de um ip valido vi que é simples, só quanto a fazer esse redirecionamento para que todas conexões vindas para o ip valido da maquina linux e direcionar para o RRAS que ta mais dificil de entender.

**adritec** · 23-10-2008, 14:21

Como não tenho praticamente nenhum conhecimento de iptables ta meio complicado, mas vou ver o que consigo fazer, qualquer coisa posto pro pessoal ajudar.
Eu já estava lendo o guia foca, é meio complicado de fazer, vamos ver.

Obrigado.

iptables + dnat

Ferramentas de Tópicos

iptables + dnat