Cara, um pacote passa pelas regras na ordem em que as regras s�o adicionadas e quando um pacote e liberado ou bloqueado por um regra ele n�o assa pelas outras, no seu caso j� existe uma regra para para mascarar os pacotes:
iptables -t nat -A POSTROUTING -j MASQUERADE ou seja.... o seu pacote n�o passa pelas regras: iptables -A FORWARD -d 10.0.0.0/8 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j SNAT --to 200.x.x.x o ideal e criar as regras assim: iptables -P FORWARD DROP Define regra padr�o iptables -A FORWARD -d 10.0.0.0/8 -m state --state RELATED,ESTABLISHED -j ACCEPT Libera conex�es j� iniciadas iptables -t nat -A POSTROUTING -j MASQUERADE Mascara os pacotes que chegaram at� aqui.... Nesse caso, como n�o t�m nenhuma regra que libere um pacote (ACCEPT) nenhum pacote passar�, ai antes da rede de marcaramento vc deve liberar um pacote que vc queira. Ex.: iptables -P FORWARD DROP Define regra padr�o iptables -A FORWARD -d 10.0.0.0/8 -m state --state RELATED,ESTABLISHED -j ACCEPT Libera conex�es j� iniciadas iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT Regra para liberar a pacotes na porta 80 iptables -t nat -A POSTROUTING -j MASQUERADE Mascara os pacotes que foram aceitos. ------------ Bom aqui estao as minhas regras: iptables -t nat -A POSTROUTING -j MASQUERADE iptables -P FORWARD DROP iptables -A FORWARD -d 10.0.0.0/8 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j SNAT --to 200.x.x.x Quem sabe vc pode me ajudar nessa outra d�vida, teria problema colocar todas as regras de forward primeiro e depois as regras de nat ? Pois este firewall j� estava montado em um sistema e n�o mechi nas posi��es por causa destas d�vidas !! Robson. --- "Marco Aur�lio P. de Carvalho" <[EMAIL PROTECTED]> escreveu: > Em ambas as maneiras vc n�o precisa de ter o ultima > regra, pois como vc > especificou anteriormente a regra padr�o e bloquar > tudo q n�o e > explicitamente liberado. > Na segunda maneira vc especificol ALL no protocolo, > isso significa q se > vier um pacote na porta 80 UDP que n�o � HTTP ele > vai passar numa boa. > Deixe tudo assim: > > iptables -P FORWARD DROP > iptables -A FORWARD -d 10.0.0.0/8 -m state --state > RELATED,ESTABLISHED -j > ACCEPT > iptables -A FORWARD -p tcp --dport 80 -s 10.0.7.2 -j > ACCEPT > > > Agora s� uma duvida, vc disse q faz NAT mas n�o > estou vendo nenhuma regra > para mascarar os pacotes. > > Marco Aur�lio > --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
