Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta?
# Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado, Moksha Em 27 de abril de 2012 22:07, Eden Caldas <edencal...@gmail.com> escreveu: > Se a política padrão no seu script for DROP para as regras de forward, ou > se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de > filter. > > Eden Caldas > Consultor de TI > e...@linuxfacil.srv.br > (81) 9747 4444 > (81) 9653 7220 > LINUX FÁCIL – Consultoria e Serviços em TI > > > Em 27 de abril de 2012 18:34, Moksha Tux <gova...@gmail.com> escreveu: > > Queridos amigos! >> >> escrevendo o meu script de firewall me deparei com uma inquietante >> dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e >> especificando as portas somente isso já seria o suficiente para eu >> estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro >> também? Ex: >> >> # Para liberar o WWW da DMZ para a WAN >> >> iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m >> multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 >> iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m >> multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 >> >> Será que eu também teria que criar uma regra na chain FORWARD liberando >> essa conexão? Abraços, >> >> Moksha >> >> >
