Pelo jeito ele fez uma variavel chamada 3 com o valor do IP destino. E uma
variável chamada 4 com uma porta
ex:
3=192.168.100.1
4=80
Se for isso, é estranho pois não dá pra nomear variáveis com números ou
começando com números.
Ah e esse -p TCP do exemplo também não pode ser maiúsculo.
Eden
ALL=0.0.0.0/0
Att
Em 29-04-2012 01:14, Moksha Tux escreveu:
$IPTABLES -A INPUT -p TCP -s ALL -d 200.200.200.200 --dport 80 -j
ACCEPT
$IPTABLES -t nat -A PREROUTING -p TCP -s ALL -d 200.200.200.200
--dport 80 -j DNAT --to-destination 10.10.10.10:80
$IPTABLES -A FORWARD -p TCP -d
Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz!
Sim a política padrão que estou adotando é DROP neste caso serei obrigado a
criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de
amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o
Moksha
A respeito dessa regra:
iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m
multiport 80,3306 -J ACCEPT
Está quase certo.
Primeira, não deve ser usado aí o -s com o IP externo na sua regra de
forward. O -s seria para tratar a origem do pacote e você está querendo que
ele
Complementando que esqueci. Sua segunda regra de forward não é necessária.
E você não precisa especificar as interfaces de rede, porém é sempre bom
especificar pra ficar mais amarrado.
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9747
(81) 9653 7220
LINUX FÁCIL – Consultoria e
Nossa senhor Eden Caldas!
Muitíssimo obrigado por essa aula, sim o senhor está certo, seria para
qualquer pessoa acessar esse servidor nas portas 80 e 3306 o meu medo seria
que na minha especulação se eu não amarrasse origem e destino eu correria o
risco de abrir todo o acesso da internet para
Moksha.
São necessárias as duas coisas.
Quem realmente abre a porta é o programa servidor.
A regra de forward libera o tráfego passar, ou seja, atravessar o firewall
que está no meio.
A regra de DNAT é necessária pois quem realmente está na internet é seu
firewall.
Pra ficar mais claro. Caso o
Poxa meu querido muito obrigado por tudo isso!
É que estou acostumado a manusear o pf e quando vou traduzir as regras
para iptables fico realmente confuso mas agora está muito mais clareado.
depois com mais calma vou tirar outras dúvidas com o senhor referente a
algumas sintaxes e regras que
você também precisa liberar o foward
segue um dnat completo
$IPTABLES -A INPUT -p TCP -s $IP_ALL -d $1 --dport $2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p TCP -s $IP_ALL -d $1 --dport $2 -j
DNAT --to-destination $3:$4
$IPTABLES -A FORWARD -p TCP -d $3 --dport $4 -i $WAN -o $LAN -j ACCEPT
Nossa Júlio muito obrigado pela ajuda mas fiquei perdidinho com as
variáveis, o que seria $3:$4 sei que o : encadeia uma range ou d eportas
ou de IPs seria isso mesmo? mas quando em me referi a uma tabela de hosts
não seria uma range e sim alguns endereços aleatório.
Moksha
Em 28 de abril de
Provavelmente sim ...
Mas o que são estas 4 placas de rede ?
Pela minha experiência profisional, boas placas de rede fazem uma diferença
brutal na performance de roteadores/gateways/proxys ...
Fábio Rabelo
Em 27 de abril de 2012 09:57, Moksha Tux gova...@gmail.com escreveu:
A princípio
São 4 placas GB Ethernet da broadcom muito boas por sinal
Em 27 de abril de 2012 10:09, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu:
Provavelmente sim ...
Mas o que são estas 4 placas de rede ?
Pela minha experiência profisional, boas placas de rede fazem uma
diferença brutal na
Queridos amigos!
escrevendo o meu script de firewall me deparei com uma inquietante
dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e
especificando as portas somente isso já seria o suficiente para eu
estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo
Se a política padrão no seu script for DROP para as regras de forward, ou
se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de
filter.
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9747
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI
Em 27 de abril de
bom dia 80)
- Mensagem original -
De: Moksha Tux gova...@gmail.com
Para: Forum Debian debian-user-portuguese@lists.debian.org
Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
Assunto: Dúvidas sobre Roteador com Iptables
Boa noite queridos amigos!
Estou construindo um roteador
, Paulo Ricardo Bruck paulo...@contatogs.com.br
escreveu:
bom dia 80)
- Mensagem original -
De: Moksha Tux gova...@gmail.com
Para: Forum Debian debian-user-portuguese@lists.debian.org
Enviadas: Quarta-feira, 25 de Abril de 2012 22:56:02
Assunto: Dúvidas sobre Roteador com
Bom dia ...
Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia
considerar um front-end !
Eu uso o shorewall :
http://shorewall.net/
http://people.connexer.com/~roberto/debian/
um simples apt-get install shorewall-perl e já estará instalado .
E para manter um número muito
Muito obrigado Fábio pela resposta!
Eu já andei considerando sim alguns appliance como o próprio Untangle que
já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a
administração e implementação de roteadores/firewalls em iptables na mão
mesmo mas confesso que essas soluções não estão
Não, o Shorewall não é um apliance, é um front-end .
Ele fica entre o iptables e o administrador da rede, facilita em muito a
administração qdo existem muitas regras do iptables .
Eu uso geralmente o webmin para gerenciar o shorewall .
O Shorewall pode ser instalado em qualquer distribuição !
Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar entre
o iptables e o admin como o senhor mesmo explicou e possui uma interface
que torna tanto a dministração quanto a implementação do firewall mais
amigável. Não seria isso então?
Moksha
Em 26 de abril de 2012 12:19, Fábio
- Mensagem original -
De: Moksha Tux gova...@gmail.com
Para: Paulo Ricardo Bruck paulo...@contatogs.com.br
Cc: Forum Debian debian-user-portuguese@lists.debian.org
Enviadas: Quinta-feira, 26 de Abril de 2012 9:32:00
Assunto: Re: Dúvidas sobre Roteador com Iptables
Muito obrigado
Boa noite queridos amigos!
Estou construindo um roteador com iptables para o trabalho mas antes estou
colhendo bastante informações pois não considero esta ferramenta fácil mas
já estou tendo algum exito a miha dúvida é a seguinte... por ser um
roteador devo prestar atenção nas regras INPUT que
22 matches
Mail list logo
