Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT
Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 4444 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux <gova...@gmail.com> escreveu: > Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! > > Sim a política padrão que estou adotando é DROP neste caso serei obrigado > a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria > de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir > o porta 80 para outras servidores, será que a regra abaixo estaria coreta? > > > # Para liberar o WWW da DMZ para a WAN > > iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m > multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 > iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m > multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 > iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m > multiport 80,3306 -J ACCEPT > iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 > -J ACCEPT > > E assim por diante, não sei se neste caso sou obrigado a identificar as > interfaces nas regras de filtro, será que os senhores poderiam me informar > se estaria certa essa minha especulação? Desde já obrigado, > > Moksha > > Em 27 de abril de 2012 22:07, Eden Caldas <edencal...@gmail.com> escreveu: > > Se a política padrão no seu script for DROP para as regras de forward, ou >> se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de >> filter. >> >> Eden Caldas >> Consultor de TI >> e...@linuxfacil.srv.br >> (81) 9747 4444 >> (81) 9653 7220 >> LINUX FÁCIL – Consultoria e Serviços em TI >> >> >> Em 27 de abril de 2012 18:34, Moksha Tux <gova...@gmail.com> escreveu: >> >> Queridos amigos! >>> >>> escrevendo o meu script de firewall me deparei com uma inquietante >>> dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e >>> especificando as portas somente isso já seria o suficiente para eu >>> estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro >>> também? Ex: >>> >>> # Para liberar o WWW da DMZ para a WAN >>> >>> iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m >>> multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 >>> iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m >>> multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 >>> >>> Será que eu também teria que criar uma regra na chain FORWARD liberando >>> essa conexão? Abraços, >>> >>> Moksha >>> >>> >> >
