Dica para complementar o comentário do Alex....
*Caso use SQUID:*
#!/bin/bash
[....]
# Portas externas que a rede interna acessa
# (ISTO É MERAMENTE UM EXEMPLO, VOCÊ PRECISA ANALISAR A SUA REDE PARA
DEFINIR AS PORTAS QUE A MESMA ACESSA)
LANACCESS="20 21 22 23 25 53 69 80 109 110 115 123 143 220 443 444 465
587 989 990 993 995"
# Mudando a política para DROP
iptables -P FORWARD DROP
# Liberar que a rede repasse TODAS
# as portas especificadas na variavel LANACCESS para a rede interna
for PORTA in $LANACCESS; do
# se a porta for 80 ele não repassa pois estas portas tem de
# serem redirecionadas ao squid 3128
if [ $PORTA -ne "80" ]; then
$IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p udp --sport $PORTA -j ACCEPT
fi
done;
unset PORTA
*Caso não use SQUID:*
#!/bin/bash
[....]
# Portas externas que a rede interna acessa
# (ISTO É MERAMENTE UM EXEMPLO, VOCÊ PRECISA ANALISAR A SUA REDE PARA
DEFINIR AS PORTAS QUE A MESMA ACESSA)
LANACCESS="20 21 22 23 25 53 69 80 109 110 115 123 143 220 443 444 465
587 989 990 993 995"
# Mudando a política para DROP
iptables -P FORWARD DROP
# Liberar que a rede repasse TODAS
# as portas especificadas na variavel LANACCESS para a rede interna
for PORTA in $LANACCESS; do
$IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p udp --sport $PORTA -j ACCEPT
done;
unset PORTA
Espero que a dica seja útil!!! :D Comentem!!
Abraço!
Em 15-06-2011 11:50, Alex Paulo Laner escreveu:
Rogério,
No meu ponto de vista o que esta estranho é ter deixado o FORWARD como
ACCEPT, dessa forma não esta tendo controle da saída da sua rede
interna para a internet, qualquer equipamento sai para internet para
qualquer lugar sem bloqueio nenhum.
O echo 1 > /proc/sys/net/ipv4/ip_forward pode ser configurado no
sysctl.conf net.ipv4.ip_forward=1
O uso INPUT com mangle não entendi porque você usou ele.
Alex Paulo Laner aka rootsh
2011/6/14 Rogério Oliveira Naressi <[email protected]
<mailto:[email protected]>>
Pessoal,
Estou configurando um Squeeze exclusivo para fazer NAT utilizando
IPTABLES.
Minha eth0 esta conectada a um link Embratel, e a eth1 a rede
local. Fiz algumas buscas nas internet e cheguei a configuração
abaixo, a qual esta funcionando.
Mas gostaria da opinião de vocês se é essa mesma a configuração ou
há algo a acrescentar, já que é a primeira vez que configuro NAT.
Configuração da rede /etc/network/interfaces:
===================================
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0 eth1
iface eth0 inet static
address 200.150.40.32
netmask 255.255.255.0
network 200. 150.40.0
broadcast 200. 150.40.255
gateway 200. 150.40.1
# dns-* options are implemented by the resolvconf package,
if installed
dns-nameservers 200.255.255.65 20.255.255.70
dns-search exemplo.com.br <http://exemplo.com.br>
iface eth1 inet static
address 10.150.200.10
netmask 255.255.255.0
network 10.150.200.0
broadcast 10.150.200.255
Configuração do IPTABLES:
====================
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# Loopback
iptables -A INPUT -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
# Libera acesso rede local e estabelece relação de confiança (eth1)
iptables -A INPUT -i eth1 -s 10.150.200.0/24
<http://10.150.200.0/24> -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT
iptables -t nat -A POSTROUTING -s 10.150.200.0/24
<http://10.150.200.0/24> -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Obrigado,
Rogério Naressi
Administrador de Rede
*IPEF - Instituto de Pesquisas e Estudos Florestais
*Av. Pádua Dias, 11 - Bairro Agronomia
Caixa Postal 530 - CEP 13400-970 - Piracicaba - SP
Telefone: (19)2105-8620 - Fax: (19)2105-8666
Visite nosso site: http://www.ipef.br <http://www.ipef.br/>
--
Rafael Henrique da Silva Correia
http://abraseucodigo.blogspot.com
Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699
