Re: (linux-br) Redirecionamento usando iptables

Fernando Cesario Tue, 02 Jun 2009 10:50:11 -0700

Senhores,

Nenhuma das opcoes me dadas surtiram efeito, e muito estranho eu estou
usando Debian Leny eu preciso habilitar alguma coisa a mais alem do
proprio iptables e do ip_forward?


eth0=LAN
eth1=link1
eth2=link2

firewall:~# ifconfig
eth0      Link encap:Ethernet  EndereÃ§o de HW 00:c0:9f:22:a9:9c
          inet end.: 192.168.10.30  Bcast:192.168.10.255  Masc:255.255.255.0
          endereÃ§o inet6: fe80::2c0:9fff:fe22:a99c/64 Escopo:Link
          UP BROADCASTRUNNING MULTICAST  MTU:1500  MÃ©trica:1
          RX packets:39984 errors:0 dropped:0 overruns:0 frame:0
          TX packets:838 errors:0 dropped:0 overruns:0 carrier:0
          colisÃµes:0 txqueuelen:100
          RX bytes:3570708 (3.4 MiB)  TX bytes:131434 (128.3 KiB)

eth1      Link encap:Ethernet  EndereÃ§o de HW 00:01:02:39:62:3e
          inet end.: 200.xxx.xxx.xxx  Bcast:200.205.182.127
Masc:255.255.255.192
          endereÃ§o inet6: fe80::201:2ff:fe39:623e/64 Escopo:Link
          UP BROADCASTRUNNING MULTICAST  MTU:1500  MÃ©trica:1
          RX packets:3436 errors:0 dropped:0 overruns:0 frame:0
          TX packets:721 errors:0 dropped:0 overruns:0 carrier:0
          colisÃµes:0 txqueuelen:1000
          RX bytes:686462 (670.3 KiB)  TX bytes:60313 (58.8 KiB)
          IRQ:23 EndereÃ§o de E/S:0x4400

eth1:0    Link encap:Ethernet  EndereÃ§o de HW 00:01:02:39:62:3e
          inet end.: 200.xxx.xxx.xxx  Bcast:200.205.182.127
Masc:255.255.255.192
          UP BROADCASTRUNNING MULTICAST  MTU:1500  MÃ©trica:1
          IRQ:23 EndereÃ§o de E/S:0x4400

eth1:1    Link encap:Ethernet  EndereÃ§o de HW 00:01:02:39:62:3e
          inet end.: 200.xxx.xxx.xxx  Bcast:200.205.182.127
Masc:255.255.255.192
          UP BROADCASTRUNNING MULTICAST  MTU:1500  MÃ©trica:1
          IRQ:23 EndereÃ§o de E/S:0x4400

eth2      Link encap:Ethernet  EndereÃ§o de HW 00:1d:0f:be:49:ef
          inet end.: 200.212.xxx.xxx  Bcast:200.212.230.63  Masc:255.255.255.192
          endereÃ§o inet6: fe80::21d:fff:febe:49ef/64 Escopo:Link
          UP BROADCASTRUNNING MULTICAST  MTU:1500  MÃ©trica:1
          RX packets:2697 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          colisÃµes:0 txqueuelen:1000
          RX bytes:220888 (215.7 KiB)  TX bytes:828 (828.0 B)
          IRQ:27 EndereÃ§o de E/S:0x6000

lo        Link encap:Loopback Local
          inet end.: 127.0.0.1  Masc:255.0.0.0
          endereÃ§o inet6: ::1/128 Escopo:MÃ¡quina
          UP LOOPBACKRUNNING  MTU:16436  MÃ©trica:1
          RX packets:99 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99 errors:0 dropped:0 overruns:0 carrier:0
          colisÃµes:0 txqueuelen:0
          RX bytes:9607 (9.3 KiB)  TX bytes:9607 (9.3 KiB)

Nao existe nenhuma regra de balanceamento nem nada... simplesmente
chega os dois links de internet nas placas fisicas do meu
firewall.Segue abaixo meu script:

############################# INICIO SCRIPT
#################################################

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#######################################GW
WAN#######################################
/sbin/route add default gw 2xx.2xx.1xx.xxx(EMBRATEL)
####################################################################################


################################ Modulos NAT ###################################
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
################################################################################

#################################Limpando os Filtros############################
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
################################################################################

####################### Regras Default #########################################
#/sbin/iptables -P INPUT DROP
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
#/sbin/iptables -P FORWARD DROP
/sbin/iptables -P FORWARD ACCEPT
################################################################################

#################### Regras ####################################################
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
################################################################################

######## loopback  #############################################################
/sbin/iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
################################################################################

####################################Liberando
ICMP###########################################################
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -i eth1 -j ACCEPT
#############################################################################################################

########################Rotas de Redes######################################
ip route add 192.168.9.0/24 via 192.168.10.1
ip route add 192.168.10.0/24 via 192.168.10.1
ip route add 192.168.11.0/24 via 192.168.10.1
ip route add 192.168.14.0/24 via 192.168.10.1
ip route add 192.168.30.0/24 via 192.168.10.1
ip route add 192.168.97.0/24 via 192.168.10.1
ip route add 192.168.100.0/24 via 192.168.10.1
#############################################################################

###################Encaminhamento das Redes##################################
/sbin/iptables -A FORWARD  -s 192.168.9.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.9.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.11.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.11.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.12.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.12.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.13.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.13.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.14.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.14.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.15.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.15.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.16.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.16.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.17.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.17.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.18.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.18.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.19.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.19.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.20.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.20.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.21.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.21.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.30.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.30.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.93.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.93.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.94.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.94.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.95.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.95.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.96.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.96.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.97.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.97.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.98.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.98.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.99.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.99.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -s 192.168.100.0/24 -j ACCEPT
/sbin/iptables -A FORWARD  -d 192.168.100.0/24 -j ACCEPT
##############################################################################

########################## Acesso redes ######################################
/sbin/iptables -A INPUT  -s 192.168.9.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.11.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.12.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.13.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.14.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.15.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.16.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.17.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.18.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.19.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.20.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.21.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.30.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.93.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.94.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.95.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.96.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.97.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.98.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.99.0/24 -j ACCEPT
/sbin/iptables -A INPUT  -s 192.168.100.0/24 -j ACCEPT
##############################################################################

############################################### DNS
#################################################################
/sbin/iptables -A INPUT -p tcp -s 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -s 0/0 --dport 53 -j ACCEPT
######################################################################################################################

######################################### xxxxxxxxxx - (Monitoramento
xxxxxxx Antena 192.168.50.3) #############################
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xx
--dport 80 -j DNAT --to-destination 192.168.50.3:80
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xx
--dport 80 -j DNAT --to-destination 192.168.50.3:80
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xx
--dport 22 -j DNAT --to-destination 192.168.50.3:22
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xx
--dport 22 -j DNAT --to-destination 192.168.50.3:22
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xx
--dport 161 -j DNAT --to-destination 192.168.50.3:161
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xx
--dport 161 -j DNAT --to-destination 192.168.50.3:161
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xx
--dport 162 -j DNAT --to-destination 192.168.50.3:162
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xx
--dport 162 -j DNAT --to-destination 192.168.50.3:162
###############################################################################################################################

########################################## xxxxxxxx -(Monitoramento
xxxxxxxxxx Antena 192.168.50.2)######################################
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xxx
--dport 80 -j DNAT --to 192.168.50.2:80
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xxx
--dport 80 -j DNAT --to 192.168.50.2:80
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xxx
--dport 22 -j DNAT --to 192.168.50.2:22
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xxx
--dport 22 -j DNAT --to 192.168.50.2:22
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xxx
--dport 161 -j DNAT --to 192.168.50.2:161
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xxx
--dport 161 -j DNAT --to 192.168.50.2:161
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xxx
--dport 162 -j DNAT --to 192.168.50.2:162
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp -d 200.xxx.xxx.xxx
--dport 162 -j DNAT --to 192.168.50.2:162
########################################################################################################################################

###########################################Teste########################################################################################
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 200.xxx.xxx.xx
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.xxx.xxx.xx
--dport 80 -j DNAT --to-destination 192.168.30.1:80
/sbin/iptables -t nat -I POSTROUTING -o eth1 -p tcp -s 192.168.30.1/32
--sport 80 -j SNAT --to-source 200.xxx.xxx.xx
#########################################################################################################################################


#####################################
Portas###########################################################################
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 4949 -j ACCEPT
#######################################################################################################################

#########################################################################################################################
/sbin/iptables -A INPUT -p tcp -s 0/0 --dport 10050 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 0/0 --dport 10050 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --dport 10051 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s 0/0 --dport 10051 -j ACCEPT
#########################################################################################################################

################################# Exchange NOVO
####################################################################
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 80 -j DNAT --to 192.168.14.4:80
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 110 -j DNAT --to 192.168.14.4:110
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 53 -j DNAT --to 192.168.14.4:53
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 25 -j DNAT --to 192.168.14.4:25
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 143 -j DNAT --to 192.168.14.4:143
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 443 -j DNAT --to 192.168.14.4:443
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp -d 200.xxx.xxx.xxx
--dport 8081 -j DNAT --to 192.168.14.4:8081
#################################################################################################################

################################################## NAT
#############################################################
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
###################################################################################################################

Alguem consegue me dar alguma sugestao por que nao estou conseguindo
rotear os ips das eth's virtuais?


obrigado,


Fernando Felicissimo



2009/5/29 Alejandro Flores <[email protected]>:
> Fernando,
>
>> /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -d 2xx.2xx.1xx.xx
>> --dport 80 -j DNAT --to 192.168.97.31:80
>> 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
>> state UNKNOWN qlen 1000
>>    link/ether 00:01:02:39:62:3e brd ff:ff:ff:ff:ff:ff
>>    inet 2xx.2xx.1xx.xx/26 brd 200.205.182.127 scope global eth1
>>    inet 2xx.2xx.1xx.xx/26 scope global secondary eth1
>>    inet6 fe80::201:2ff:fe39:623e/64 scope link
>>     valid_lft forever preferred_lft forever
>
> Você deve mascarar o ip do DNAT ao IP correspondente.
> Por exemplo, digamos que você tem 3 ips na mesma interface:
>
> eth1 = 200.200.200.1
> eth1:1 = 200.200.200.2
> eth1:2 = 200.200.200.3
>
> Então, você faz NAT para saída:
>
> # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> ou
> # iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 200.200.200.1
>
> Então você criou um direcionamento em outro IP:
>
> # iptables -t nat -A PREROUTING -i eth1 -p tcp -d 200.200.200.2/32
> --dport 80 -j DNAT --to 192.168.97.31:80
>
> A conexão chega ao ip 200.200.200.2 na porta 80 e o iptables muda o
> destino para 192.168.97.31 na porta 80. Então você vai ter esse
> trafego chegando: IP_CLIENTE -> 200.200.200.2:80 -> 192.168.97.31:80
> E você terá esse trafego saindo: 192.168.97.31:80 -> 200.200.200.1 -> 
> IP_CLIENTE
> Note que o IP_CLIENTE mandou o pacote para 200.200.200.2 e está
> recebendo retorno do ip 200.200.200.1.
>
> Para que isso não aconteça, você vai ter que mascarar esse IP
> (192.168.97.31) com o ip externo correspondente ao qual você fez o
> DNAT:
>
> # iptables -t nat -I POSTROUTING -o eth1 -p tcp -s 192.168.97.31/32
> --sport 80 -j SNAT --to-source 200.200.200.2
>
> E ai sim, você vai ter o trafego correto.
>
> --
> Abraço!
> Alejandro Flores
> http://www.triforsec.com.br/
>
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Re: (linux-br) Redirecionamento usando iptables

Responder a