Tenho um servidor Linux Red Hat/Speedy/Business, um ip-fixo e tenho que
rodar paginas asp em um Win2000 com IIS que esta atras deste Linux com
Apache, j� tentei fazer de tudo para fazer o direcinamento da porta 80 do
Linux para o Win2000 e nada, usei a defini��o abaixo :
J� usei ...
iptables -t nat -A PREROUTING -t nat -p tcp -d 200.xxx.yyy.zzz --dport 80 -j
DNAT --to 192.168.1.200
... e ...
iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 80 -j DNAT --to
192.168.1.200
... e ...
iptables -A PREROUTING -t nat -p tcp -d 200.176.141.58 --dport 80 -j
DNAT --to 192.168.1.200:80
... e ...
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 80 -j REDIRECT --to
192.168.1.200
... mas nao funcinou. Falta alguma coisa ... Abaixo passo o script do meu
firewall ...
eth1 � a placa onde esta ligado o Cable Modem e tem o IP externo
eth0 � a placa que compartilho com a rede para os outros micros acessarem a
internet
#######################################################################
#### Definicoes do meu firewall ...
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat
###############################################################
# Tabela filter #
###############################################################
##### Chain INPUT #####
# Criamos um chain que ser� usado para tratar o tr�fego vindo da
Internet e
iptables -N ppp-input
# Aceita todo o tr�fego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tr�fego vindo da rede interna tamb�m � aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# Conex�es vindas da interface eth1 s�o tratadas pelo chain ppp-input
iptables -A INPUT -i eth1 -j ppp-input
# Qualquer outra conex�o desconhecida � imediatamente registrada e
derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
##### Chain FORWARD ####
# Permite redirecionamento de conex�es entre as interfaces locais
# especificadas abaixo. Qualquer tr�fego vindo/indo para outras
# interfaces ser� bloqueado neste passo
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
##### Chain ppp-input ####
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limita��o
# O tr�fego de pacotes icmp que superar este limite ser� bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain ppp-input
#
iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT
# Primeiro aceitamos o tr�fego vindo da Internet para o servi�o www
(porta 80)
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
# A tentativa de acesso externo a estes servi�os ser�o registrados no
syslog
# do sistema e ser�o bloqueados pela �ltima regra abaixo.
iptables -A ppp-input -p tcp --dport 21 -j ACCEPT
iptables -A ppp-input -p tcp --dport 23 -j ACCEPT
iptables -A ppp-input -p tcp --dport 25 -j ACCEPT
iptables -A ppp-input -p udp --dport 53 -j ACCEPT
iptables -A ppp-input -p tcp --dport 110 -j ACCEPT
iptables -A ppp-input -p tcp --dport 113 -j ACCEPT
iptables -A ppp-input -p tcp --dport 3306 -j ACCEPT
iptables -A ppp-input -p udp --dport 111 -j ACCEPT
iptables -A ppp-input -p tcp --dport 111 -j ACCEPT
iptables -A ppp-input -p tcp --dport 137:139 -j ACCEPT
iptables -A ppp-input -p udp --dport 137:139 -j ACCEPT
iptables -A ppp-input -p udp --dport 10000 -j ACCEPT
iptables -A ppp-input -p udp --dport 5432 -j ACCEPT
iptables -A ppp-input -p tcp --dport 80 -j LOG --log-prefix "FIREWALL:
http "
iptables -A ppp-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:
ftp "
iptables -A ppp-input -p tcp --dport 23 -j LOG --log-prefix "FIREWALL:
telnet "
iptables -A ppp-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:
smtp "
iptables -A ppp-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL:
dns "
iptables -A ppp-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:
pop3 "
iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:
identd "
iptables -A ppp-input -p tcp --dport 3306 -j LOG --log-prefix
"FIREWALL: mysql "
iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL:
rpc"
iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:
rpc"
iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
iptables -A ppp-input -p udp --dport 10000 -j LOG --log-prefix
"FIREWALL: webmin "
# Bloqueia qualquer tentativa de nova conex�o de fora para esta m�quina
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j
LOG --log-prefix "FIREWALL: ppp-in "
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tr�fego � aceito
iptables -A ppp-input -j ACCEPT
#######################################################
# Tabela nat #
#######################################################
##### Chain POSTROUTING #####
# Permite qualquer conex�o vinda com destino a lo e rede local para
eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j ACCEPT
# N�o queremos que usu�rios tenham acesso direto a www e smtp da rede
externa, o
# squid e smtpd do firewall devem ser obrigatoriamente usados. Tamb�m
registramos
# as tentativas para monitorarmos qual m�quina est� tentando
conectar-se diretamente.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -p tcp --dport
80 -j LOG --log-prefix "FIREWALL: SNAT-www "
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -p tcp --dport
25 -j LOG --log-prefix "FIREWALL: SNAT-smtp "
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -p tcp --dport
25 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -p tcp --dport
80 -j DROP
# � feito masquerading dos outros servi�os da rede interna indo para a
interface
# eth1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# Qualquer outra origem de tr�fego desconhecida indo para eth0
(conex�es vindas
# de eth1) s�o bloqueadas aqui
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j
LOG --log-prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
# Quando iniciamos uma conex�o ppp, obtermos um endere�o classe A
(10.x.x.x) e ap�s
# estabelecida a conex�o real, este endere�o � modificado. O tr�fego
indo para
# a interface ppp n�o dever� ser bloqueado. Os bloqueios ser�o feitos
no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tr�fego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
