Realmente estou errado, mas se ele não liberar a porta com a politica de INPUT dele estando em DROP, o pacote não vai chegar a maquina de destino, pois o pacote chega até a maquina (firewall)com ela como destino, e daí ela pega dependendo da porta e redireciona para uma maquina da rede, creio que esse negocio do prerouting sem passar pelo input só deva funcionar , com pacotes que tenham um outro destino e a maquina firewall seja um roteador, aqui eu utilizo muito o redirecionamento e se não liberar a porta e seguir este raciocinio o pacote não chega até o destino não.
Sds, Anderson -----Mensagem original----- De: Christian Lyra [mailto:[EMAIL PROTECTED] Enviada em: sexta-feira, 13 de junho de 2003 9:18 Para: [email protected] Assunto: Re: RES: Problemas com IPtables Ois, sorry... mas vc está errado... Existe sim PREROUTING e POSTROUTING. Essas chains são a primeira e a última a serem "atravessadas", e se referem a ações que serão feitas antes da tomada de decisão de roteamento e após a tomada de decisão de roteamento, respectivamente. As chains INPUT e OUTPUT se referem apenas a pacotes com destino e origem a própria máquina. Pacotes que "atravessam" a máquina passam pela chain forward. Se por um exemplo vc dropasse tudo nas chains input e output mas liberasse tudo na chain FORWARD o efeito seria de que essa máquina repassaria qualquer pacote de uma máquina para outra, mas ela mesmo ficaria incomunicavel. sacou? Quantos as chains PREROUTING e POSTROUTING é bem fácil.. basta pensar no que acontece quando os pacotes irão entrar ou sair da máquina. Por exemplo, se eu quero fazer NAT (SNAT para ser exato), o pacote entra na máquina, eu vejo de quem ele veio (origem), vejo para onde vai (destino), tomo a decisão de roteamento (ex, vai sair pela interface eth0), e finalmente quando o pacote está prestes a sair da máquina eu troco o endereço de origem dele na chain POSTROUTING, se isso fosse feito em qualquer outra chain, bagunçaria tudo... Fica como "exercício" imaginar o que acontece no PREROUTING e para o que ela serve :-) On Thursday 12 June 2003 17:14, Anderson wrote: > Primeiro creio que não exista politica de Prerouting, somente > input,output e forward. Para uma requisição passar pelo firewall e > chegar a uma maquina destino ela precisa > fazer o seguinte percurso: > - Chegar na maquina(ser aceita por uma regra INPUT) > - Passar pela maquina (ser liberada por uma regra FORWARD) > - Ser redirecionada para a maquina de destino (regra PREROUTING) > - Ter direito de sair da maquina (Regra OUTPUT) > Então com base no seu email anterior, seria necessario criar uma regra > input aceitando > a conexão a porta 80 e uma regra de Formard aceitando o pacote > atravessar a maquina até > o seu destino. > > Sds, > > Anderson > > -----Mensagem original----- > De: Flávio Cruz [mailto:[EMAIL PROTECTED] > Enviada em: quinta-feira, 12 de junho de 2003 18:52 > Para: [email protected] > Assunto: Problemas com IPtables > > > Olá, pessoal > > tenho a seguinte estrutura: > > Estou precisando redirecionar todas as requisições da porta 80 de um > IP externo, para um servidor interno local. > > estou usando a seguinte regra: > iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport > 80 DNAT --to 10.10.1.2 > > estou sando a seguinte politica: > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > iptables -P FORWARD DROP > iptables -P PREROUTING ACCEPT > > > Desde já agradeço. > > ____________________________ > Flávio Cruz -- Christian Lyra POP-PR - RNP http://lyra.soueu.com.br http://wecanstopspam.org Thus spake the master programmer: ``It is time for you to leave.'' The Tao Of Programing -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
