> Coloquei essas regras e n�o consigo o acesso a esta determinada > m�quina, ser� que existe ainda alguma regra de NAT que n�o estou > colocando corretamente? Para os servi�os de http e https est� > funcionando normal. > > Agrade�o pela ajuda. [corta] >N�o funciona. N�o rode servidores de FTP atr�s de NAT.
Hummm.... acho que n�o � bem por a�, O Rog�rio montou as regras de maneira errada (pelo menos n�o fa�o assim) e na nossa empresa todos os nosso servidores ficam por tr�s de um firewall debian com iptables e funciona perfeitamente bem, aqui vai um exemplo apenas para SMTP e FTP: #/!/bin/sh # eth1 = Rede externa (Internet) # eth0 = Rede interna (IP Classe C) IPT="/sbin/iptables" IP_EXT="200.200.200.200" IP_SRVD="192.168.1.1" $IPT -t filter -F $IPT -t nat -F #Protecao contra IP Spoofing for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $i done #CONFIG $IPT -t filter -P INPUT DROP $IPT -t filter -P OUTPUT DROP $IPT -t filter -P FORWARD DROP #INPUT $IPT -t filter -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT $IPT -t filter -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT $IPT -t filter -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT #OUTPUT $IPT -t filter -A OUTPUT -o eth1 -p tcp --sport 25 -j ACCEPT $IPT -t filter -A OUTPUT -o eth1 -p tcp --sport 20 -j ACCEPT $IPT -t filter -A OUTPUT -o eth1 -p tcp --sport 21 -j ACCEPT #NAT $IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 25 -j DNAT --to $IP_SRVD:25 $IPT -t nat -A POSTROUTING -p tcp -o eth0 --dport 25 -j MASQUERADE $IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 20 -j DNAT --to $IP_SRVD:20 $IPT -t nat -A POSTROUTING -p tcp -o eth0 --dport 20 -j MASQUERADE $IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 21 -j DNAT --to $IP_SRVD:21 $IPT -t nat -A POSTROUTING -p tcp -o eth0 --dport 21 -j MASQUERADE Rode o script na hora do boot e tente fazer... telnet IP_SEU_SERVIDOR 25 ou telnet IP_SEU_SERVIDOR 21 Se houver servidores escutando, voc� dever� ver a resposta deles perfeitamente, claro que a interface eth1 deve ter um ip v�lido e a outra placa de rede deve ter um IP do mesmo segmento da sua rede. Este documentos n�o s�o de IPTABLES, mas, lhe dar�o uma boa l�gica explicado de forma bem "banal" de como trabalhar com iptables e o que fazer em caso de problemas, uma vez que voc� pega a l�gica da coisa fica mais f�cil ajustar as suas regras. http://www.comlinux.com.br/docs/seguranca/ipchains.shtml http://www.comlinux.com.br/docs/seguranca/probipchains.shtml Espero que tenha ajudado. T+ --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
