O servidor de áudio (pra ajudar) é windows.
O computador 192.168.0.50 retransmite o áudio vindo do servidor
192.168.1.100 normalmente.
Então faço um redirecionamento para o computador 192.168.0.50 invés de
192.168.1.100. Só assim funciona.
Vou colocar abaixo o script do meu firewall. As vezes eu não estou
enxergando alguma coisa.
#!/bin/sh
# eth0 - rede interna
# eth1 - conexao internet
# Modulos
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe iptable_nat
# Limpa as regras
iptables -F
iptables -t nat -F
# Politicas
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Habilitar ping
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
# Aceita localhost
iptables -A INPUT -i lo -j ACCEPT
# Redes via LP
/sbin/route add -net 192.168.1.0/24 gw 192.168.0.254
/sbin/route add -net 192.168.2.0/24 gw 192.168.0.254
### TENTATIVA
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth1 -j SNAT --to
200.XXX.XXX.XXX
###
##########
#
# EXCECOES - Redireciona o tráfego direto para o Squid, sem passar
pelo DansGuardian
#
##########
for i in `cat /etc/rc.d/firewall/mac_liberado.txt`
do
iptables -t nat -A PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 3128 -j ACCEPT
iptables -A FORWARD -m mac --mac-source $i -j ACCEPT
done
#########
#
# PCS SEM ACESSO A INTERNET - BALCOES - Passa direto pro squid, que
bloqueia tudo salvo algumas excecoes
#
#########
for i in `cat /etc/rc.d/firewall/mac_bloqueado.txt`
do
iptables -t nat -I PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m mac
--mac-source $i --dport 3128 -j ACCEPT
done
###########
# INPUT
###########
# 22 - ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# 53 - DNS
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
# 80 - www
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
# 3000 - ntop
iptables -A INPUT -i eth0 -p tcp --dport 3000 -j ACCEPT
# 3128 e 8080 - Proxy
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT
###########
# FORWARD
###########
# Caixa Conectividade Social
iptables -A FORWARD -p tcp -d 200.201.160/20 -j ACCEPT
# FTP
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
# SMTP
iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
# POP
iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -A FORWARD -i eth0 -p tcp --dport 143 -j ACCEPT
# HTTPS
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
# ACESSO REMOTO
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 4890 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 4899 -j ACCEPT
# CAT
iptables -A FORWARD -p tcp --sport 5017 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5017 -j ACCEPT
# 8084
iptables -A FORWARD -i eth0 -p tcp --dport 8084 -j ACCEPT
#########
# REDIRECIONAMENTOS
#########
# Redireciona trafego da porta 1234 para 192.168.0.50:1234 - FUNCIONA
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 1234 -j DNAT --to
192.168.0.50:1234
iptables -A FORWARD -p tcp --dport 1234 -j ACCEPT
# Redireciona trafego da porta 8800 para 192.168.1.100:1234 - NAO FUNCIONA
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 8800 -j DNAT --to
192.168.1.100:1234
iptables -A FORWARD -p tcp --dport 8800 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1234 -j ACCEPT
#########
# Proxy -- Redireciona tráfego para o DansGuardian
#########
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT
--to-port 8080
#######
# Ativa roteamento
#######
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 200.XXX.XXX.XXX
######
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Em 08/05/07, Anderson Silva<[EMAIL PROTECTED]> escreveu:
> Como você está fazendo NAT da rede 192.168.1.0?
>
> iptables -t nat -nvL POSTROUTING --line-numbers
>
> você deve ter uma regra:
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source
> $WAN_IP
>
> você aceita os pacotes da rede 192.168.1.0 na chain input e forward da
> tabela filter? e na chain prerouting da tabela nat? as policies destas chain
> são ACCEPT ou DROP?
>
>
> On 5/8/07, Fabricio OK <[EMAIL PROTECTED]> wrote:
> > Ainda não...
> > o estranho é que se eu coloco para redirecionar para o ip 192.168.0.50
> > por exemplo funciona normalmente, mas sei eu coloco outro da rede
> > 192.168.1.0 não.
> > Eu ja tinha buscado no google e tentei os mais diferentes e bizarros
> > comandos para o iptables, mas não consegui que nenhum funcionasse.
> > Já tentei rodar com o firewall não-restritivo, mas nem assim!
> >
> > Em 08/05/07, Anderson Silva<[EMAIL PROTECTED]> escreveu:
> > >
> > >
> > > On 5/8/07, Fabricio OK <[EMAIL PROTECTED] > wrote:
> > > > Olá,
> > > > Tenho um servidor com duas interfaces de rede. A eth0 é da rede
> > > > interna, eth1 é da conexão à internet (ip fixo).
> > > > Temos duas redes aqui: a 192.168.0.0 e a 192.168.1.0 que estão ligadas
> > > > por uma LP de dados. O servidor em questão está na rede 192.168.0.0 e
> > > > acessa a outra rede por um roteador(route add -net 192.168.1.0 gw
> > > > 192.168.0.254).
> > > > O esquema da rede pode ser visto em:
> > > > http://gman.cp.googlepages.com/esquema_rede.jpg
> > > >
> > > > Tudo funcionando certinho. Exceto o redirecionamento:
> > > > O computador 192.168.1.100 serve áudio através da porta 1234, e uso a
> > > > regra abaixo para redirecionar o trafego da porta 1234 do ip válido
> > > > para 192.168.1.100:1234
> > > > iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 1234 -j DNAT --to
> > > > 192.168.1.100:1234
> > > > iptables -A FORWARD -p tcp -m state --state NEW --dport 1234 -i eth1
> -j
> > > ACCEPT
> > >
> > > iptables -A FORWARD -p tcp -dport 1234 -d 192.168.1.100 -j ACCEPT
> > >
> > > Conforme a police da FORWARD, você somente estaria aceitando os pacotes
> > > novos! Você tem certeza que a aplicação usa tcp e não udp?
> > >
> > > > O redirecionamento simplesmente não funciona.
> > > > e também tentei usar o rinetd, mas sem sucesso.
> > > >
> > > > No computador 192.168.1.100 está configurado como gateway o
> > > > roteador(192.168.1.254).
> > > >
> > > > Fiquei me perguntando se o problema era devido a serem de redes
> > > > diferentes, mas achei meio esquisito. Os computadores se enxergam,
> > > > trocam dados entre si normalmente.
> > > >
> > > > Utilizo também nessa rede o squid e o iptables para fazer o controle
> > > > de acesso por MAC.
> > > > Ex: tudo que chegar com tal MAC address para a porta 80 é
> > > > redirecionado para a porta 3128(squid direto, sem filtro), senão vai
> > > > para a 8080(dansguardian agindo como filtro).
> > > > Funciona normal, exceto quando o computador liberado está na rede
> > > 192.168.1.0 .
> > > > O iptables não consegue fazer nenhum tipo de redirecionamento desse
> > > > tipo? Então como fazer?
> > >
> > > se você possui roteadores eles isolam a camada 2 , logo na rede
> 192.168.0.0
> > > nenhuma máquina saberá os endereços MAC das máquinas na rede
> 192.168.1.0,
> > > consequentemente você não poderá filtrar no servidor que faz proxy por
> MAC,
> > > porque o MAC que o servidor verá será o do roteador.
> > >
> > > > Utilizo o Slackware 11 com o kernel 2.6.17.13 e o iptables 1.3.5.
> > > > O mesmo problema ocorria com o Debian Sarge 3.
> > > >
> > >
> > > Anderson
> > >
> >
>
>
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
