----- Original Message -----
From: "Ygor Thomaz" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd@fug.com.br>
Sent: Wednesday, July 30, 2008 2:43 PM
Subject: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
>Saudações pessoal,
>
>sou novato na lista e dei uma lida em muito material legal antes de
>mandar
>esta pergunta. Minha duvida é a seguinte, segue meu script:
>
># rc.firewall
>ETH_INET=eth0 # Interface ligada a Internet
>ETH_DMZ=eth1 # Interface ligada a rede DMZ
>IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
>eth0:2)
>IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
>
>#----------- Definicao das Politicas de Acesso -------------------#
>iptables -P FORWARD DROP
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>
># Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
>iptables -N Serv_DMZ
>iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
>iptables -A Serv_DMZ -j DROP
>iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
>iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
>${IP_INET3} --dport
>80 -j DNAT --to-destination 192.168.100.4:80
>iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
>${IP_INET3} --dport
>80 -j DNAT --to-destination 192.168.100.4:443
>
># FIM DESCULPEM O TAMANHO!
>
>Diante do script acima gostaria de saber se consigo disponibilizar o
>serviço
>que esta na DMZ. O caminho seria:
>INTERNET -> ETH0:2 XXX.162.122.104 -> 192.168.100.4:80 (ONDE ESTA O
>SERVIDOR
>WEB COM GATEWAY PRO FIREWALL)
>
>É preciso adicionar estas linhas:
>
>echo 1 > /proc/sys/net/ipv4/ip_forward
>modprobe iptable_nat
>??
Olá Ygor!
Olha, você terá sim que adicionar a linha 'echo 1 >
/proc/sys/net/ipv4/ip_forward', pois ela (obviamente) 'acionará' o
forward.
Quanto às regras, estão certinhas exceto pela que faz o
redirecionamento de https, acredito que você tenha colado por engano.
O correto seria:
#iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
${IP_INET3} --dport 443 -j DNAT --to-destination 192.168.100.4:443
Outra coisa, é que o parm "-d ${IP_INET3}" pode ser omitido, uma
vez que qualquer coisa que chegar (in) na eth0 virá com destino
$IP_INET3.
Fiquei meio na dúvida, se precisaria ser feito um "caminho de
volta". Achei uma thread[1] na lista netfilter que fala sobre isso, dá
uma olhada depois.
[1] -
http://lists.netfilter.org/pipermail/netfilter/2002-July/036620.html
Ah, e não se esqueça, use no Subject "OFF-TOPIC" para assuntos
como este.
[]'s
BReno BF
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
