- DNAT e MASQUERADE
+ Responder ao Tópico
-
DNAT e MASQUERADE
Caros senhores;
Tenho um problema que vem sendo muito dificil reslver sozinho e por isso peço a ajuda do grupo.
Tenho um servidor Windows 2000 que está "embaixo" de uma firewall Linux (RH 9). Preciso que de fora eu possa acessar o IIS, ou seja, redirecionar a porta para o servidor Win2k.
Estou usando uma conexão pelo ajato e usando o recurso de MASQUERADE do iptables. Já fiz vários testes e não tive sucesso. Minha pergunta: O DNAT funciona junto com MASQUERADE ?
Alguem poderia me ajudar?
Aí vai meu script da firewall.
iptables -N ppp-input
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo trafego vindo da rede interna tambem e aceito
iptables -A INPUT -s 10.0.0.0/24 -i eth1 -j ACCEPT
# Conexões vindas da interface eth0 sao tratadas pelo chain ppp-input
iptables -A INPUT -i eth0 -j ppp-input
# Qualquer outra conexão desconhecida e imediatamente derrubada
iptables -A INPUT -j DROP
##### Chain FORWARD ####
# Permite redirecionamento de conexoes entre as interfaces locais
# especificadas abaixo. Qualquer trafego vindo/indo para outras
# interfaces sera bloqueado neste passo
iptables -A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -o eth0 -j ACCEPT
##### Chain ppp-input ####
# Bloqueia mensagens icmp vindas de eth0
iptables -A ppp-input -p icmp -j DROP
# Primeiro aceitamos o tráfego vindo da Internet para o servico www (porta 80)
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
# A tentativa de acesso externo a estes servicos serao
# bloqueados pela ultima regra abaixo.
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de trafego e aceito
iptables -A ppp-input -j ACCEPT
#Habilitando o Nat
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
# Habilita NAT
---> iptables -t nat -A PREROUTING -D 200.162...(ip externo) -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.1 # Redireciona a porta
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
#Bloqueia os ips não listados acima
iptables -t nat -A POSTROUTING -s 0.0.0.0 -o eth0 -j DROP
#Otimiza o acesso a esses serviços - DNS, FTP e HTTP
iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 53 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 21 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 0x10
Desde já agradeço qualquer ajuda.