Re: (linux-br) Iptables - Chain forward

Thiago Macieira Thu, 31 Oct 2002 03:42:03 -0800

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Listas Inter.Net wrote:
>iptables  -P OUTPUT DROP
>iptables  -P INPUT DROP
>iptables  -P FORWARD DROP


Com estas tr�s regras voc� bloqueou todo o tr�fego.

>iptables  -A INPUT -i lo -j ACCEPT
>iptables  -A OUTPUT -o lo -j ACCEPT

Com estas regras, voc� permitiu o tr�fego no pr�prio servidor (localhost).

>iptables -A FORWARD -i eth1 -d MAIL_SERVER  -p tcp
>--dport 25  --tcp-flags SYN,RST,ACK SYN -j ACCEPT
>iptables -A FORWARD -i eth1 -d MAIL_SERVER  -p tcp
>--dport 110  --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Estas duas regras dizem: os pacotes TCP vindos da rede interna e indo para o 
servidor de e-mail (SMTP e POP) devem ter o sinal SYN ativo, com RST e ACK 
desativados.

>iptables  -t nat -A PREROUTING -i eth1 -p tcp --dport
>80 -j REDIRECT  --to-port 3128

Com esta, voc� diz para redirecionar tudo que for HTTP (porta 80) para a 3128 
no servidor local.

Note que suas regras permitem APENAS (e enfatizo o APENAS):
1) que seus computadores da rede interna enviem os pacotes de abertura de 
conex�o para o servidor de e-mail, nas portas do SMTP e do POP3
2) todos os pacotes da porta 80 sejam redirecionados para o servidor de proxy.

Problemas:
1) a conversa��o do SMTP e do POP3 n�o se resume ao pacote de abertura de 
conex�o. Faltam o pacote de retorno de abertura de conex�o (vindo do servidor 
de e-mail, com SYN, ACK, !FIN, !RST), os pacotes de dados (!SYN, !ACK, !FIN, 
!RST) indo de um lado para o outro e os pacotes de fechamento da conex�o (FIN 
e FIN, ACK)
2) os pacotes sendo reenviados t�m como endere�o de retorno os IPs da rede 
interna. Seu servidor de e-mail provavelmente n�o consegue contact�-los de 
volta.
3) proxy transparente n�o funciona no kernel 2.4

Eu recomendo as seguintes regras, no lugar das duas de e-mail:
iptables -A FORWARD -i eth1 -d MAIL_SERVER -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -d MAIL_SERVER -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -o eth1 -s MAIL_SERVER -p tcp --sport 25 -mstate --state 
ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth1 -s MAIL_SERVER -p tcp --sport 110 -mstate --state 
ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j MASQUERADE

Quanto ao proxy transparente, n�o use. Configure o proxy manualmente.

- -- 
  Thiago Macieira - UFOT Registry number: 1001
 [EMAIL PROTECTED]
   ICQ UIN: 1967141  PGP/GPG: 0x6EF45358
     Registered Linux user #65028
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE9wRCbM/XwBW70U1gRAhbEAJ9HHp/IybMIYNHoeoNw2NWQVQz5agCfbUon
1cnUaZjsgOkVysR1UA8Qd34=
=bfKk
-----END PGP SIGNATURE-----


Assinantes em 31/10/2002: 2220
Mensagens recebidas desde 07/01/1999: 188684
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:linux-br-owner@;bazar.conectiva.com.br

Re: (linux-br) Iptables - Chain forward

Responder a