Re: Qual é a forma correta de permitir o uso de sudo?
isso! Atenciosamente, *Gabriel Ricardo.* www.tinotapa.com.br Em 27 de abril de 2012 17:12, John DeRose hax0...@gmail.com escreveu: Olá, Aproveitando... A diferença entre essas definições: ALL=NOPASSWD: ALL ALL=(ALL) ALL Seria que a primeira permite sudo sem digitar a senha do usuário e a outra requer a senha? abraço Em 27 de abril de 2012 17:56, Molinero cybercro...@gmail.com escreveu: Eu trocaria o DEVE estar liberado por PODE estar liberado. On 04/27/2012 04:41 PM, Gabriel Ricardo wrote: É esse arquivo mesmo, só que o grupo deve estar liberado dessa maneira: %sudo ALL=NOPASSWD: ALL quando é *% *sudo, quer dizer o grupo inteiro para liberar só usuarios, adicione assim gabriel ALL=(ALL) ALL Atenciosamente, *Gabriel Ricardo.* www.tinotapa.com.br Em 27 de abril de 2012 16:20, John DeRose hax0...@gmail.com escreveu: Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Re: Outras Dúvidas sobre Roteador com Iptables
Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta? # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado, Moksha Em 27 de abril de 2012 22:07, Eden Caldas edencal...@gmail.com escreveu: Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 27 de abril de 2012 18:34, Moksha Tux gova...@gmail.com escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
Re: Outras Dúvidas sobre Roteador com Iptables
Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux gova...@gmail.com escreveu: Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta? # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado, Moksha Em 27 de abril de 2012 22:07, Eden Caldas edencal...@gmail.com escreveu: Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 27 de abril de 2012 18:34, Moksha Tux gova...@gmail.com escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
Re: Outras Dúvidas sobre Roteador com Iptables
Complementando que esqueci. Sua segunda regra de forward não é necessária. E você não precisa especificar as interfaces de rede, porém é sempre bom especificar pra ficar mais amarrado. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 13:54, Eden Caldas edencal...@gmail.com escreveu: Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux gova...@gmail.com escreveu: Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta? # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado, Moksha Em 27 de abril de 2012 22:07, Eden Caldas edencal...@gmail.comescreveu: Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 27 de abril de 2012 18:34, Moksha Tux gova...@gmail.com escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
Re: Outras Dúvidas sobre Roteador com Iptables
Nossa senhor Eden Caldas! Muitíssimo obrigado por essa aula, sim o senhor está certo, seria para qualquer pessoa acessar esse servidor nas portas 80 e 3306 o meu medo seria que na minha especulação se eu não amarrasse origem e destino eu correria o risco de abrir todo o acesso da internet para essas portas indiscriminadamente mas agora pelo que entendi essas portas só serão abertas para o forward de pacotes para esse servidor. Agora... já que eu sou obrigado a abrir as portas pela regra de filtro então o senhor acha que seria obrigatório a declaração das portas na regra de redirecionamento e NAT? Moksha Em 28 de abril de 2012 13:56, Eden Caldas edencal...@gmail.com escreveu: Complementando que esqueci. Sua segunda regra de forward não é necessária. E você não precisa especificar as interfaces de rede, porém é sempre bom especificar pra ficar mais amarrado. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 13:54, Eden Caldas edencal...@gmail.com escreveu: Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux gova...@gmail.com escreveu: Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta? # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado, Moksha Em 27 de abril de 2012 22:07, Eden Caldas edencal...@gmail.comescreveu: Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 27 de abril de 2012 18:34, Moksha Tux gova...@gmail.com escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
Re: Outras Dúvidas sobre Roteador com Iptables
Moksha. São necessárias as duas coisas. Quem realmente abre a porta é o programa servidor. A regra de forward libera o tráfego passar, ou seja, atravessar o firewall que está no meio. A regra de DNAT é necessária pois quem realmente está na internet é seu firewall. Pra ficar mais claro. Caso o servidor com as portas abertas estivesse diretamente na internet, com uma interface de rede configurada com IP WAN e você estivesse fazendo as regras nele mesmo, não precisaria da regra de DNAT, bastaria uma regra de filter, nesse caso seria INPUT. Outro exemplo. digamos que você tenha ssh nesse FIREWALL, e queria acessar de fora. Bastaria uma regra de INPUT e pronto, nada de NAT. Sempre que tiver tráfego que atravesse o firewall com internet na jogada, vai precisar de DNAT ou SNAT dependendo da orientação do tráfego. Pelo menos enquanto estivermos usando ipv4 vai ser assim. Você deve estar se perguntando, quando então vou usar forward sem uma regra de DNAT junto não é mesmo? Veja o que escrevi acima, precisa ser tráfego que atravesse o firewall E tenha internet. Pois ai estaríamos lidando com IPs públicos e privados juntos, por isso a necessidade de nat. Caso você por exemplo, vá liberar tráfego de sua LAN para sua DMZ, basta a regra de forward e habilitar o roteamento no kernel ( echo 1 /proc/sys/net/ipv4/ip_forward ), não precisa de NAT. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 16:09, Moksha Tux gova...@gmail.com escreveu: Nossa senhor Eden Caldas! Muitíssimo obrigado por essa aula, sim o senhor está certo, seria para qualquer pessoa acessar esse servidor nas portas 80 e 3306 o meu medo seria que na minha especulação se eu não amarrasse origem e destino eu correria o risco de abrir todo o acesso da internet para essas portas indiscriminadamente mas agora pelo que entendi essas portas só serão abertas para o forward de pacotes para esse servidor. Agora... já que eu sou obrigado a abrir as portas pela regra de filtro então o senhor acha que seria obrigatório a declaração das portas na regra de redirecionamento e NAT? Moksha Em 28 de abril de 2012 13:56, Eden Caldas edencal...@gmail.com escreveu: Complementando que esqueci. Sua segunda regra de forward não é necessária. E você não precisa especificar as interfaces de rede, porém é sempre bom especificar pra ficar mais amarrado. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 13:54, Eden Caldas edencal...@gmail.comescreveu: Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux gova...@gmail.com escreveu: Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz! Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta? # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa
Re: Outras Dúvidas sobre Roteador com Iptables
Poxa meu querido muito obrigado por tudo isso! É que estou acostumado a manusear o pf e quando vou traduzir as regras para iptables fico realmente confuso mas agora está muito mais clareado. depois com mais calma vou tirar outras dúvidas com o senhor referente a algumas sintaxes e regras que encontro no pf mas não encontrei ainda no iptables, por exemplo, uma tabela de hosts, onde por exemplo todos estes hosts farão um nat com um outro ip válido para determinados sites, outro exemplo... que essa tabela de hosts fará um nat com um terceiro ip válido mas sem nenhum filtro simplesmente o trafego da intyernet e estes hosts constantes nesta tabela estará tudo liberado, ainda não encontrei isso no iptables infelizmente. Estou especulando que se eu fizer uma regrinha com o comando for e nele eu mandar ler um arquivo onde conste estes hosts talvez funcione não sei, o senhor acha que isso daria certo? Abraços, Moksha Em 28 de abril de 2012 16:27, Eden Caldas edencal...@gmail.com escreveu: Moksha. São necessárias as duas coisas. Quem realmente abre a porta é o programa servidor. A regra de forward libera o tráfego passar, ou seja, atravessar o firewall que está no meio. A regra de DNAT é necessária pois quem realmente está na internet é seu firewall. Pra ficar mais claro. Caso o servidor com as portas abertas estivesse diretamente na internet, com uma interface de rede configurada com IP WAN e você estivesse fazendo as regras nele mesmo, não precisaria da regra de DNAT, bastaria uma regra de filter, nesse caso seria INPUT. Outro exemplo. digamos que você tenha ssh nesse FIREWALL, e queria acessar de fora. Bastaria uma regra de INPUT e pronto, nada de NAT. Sempre que tiver tráfego que atravesse o firewall com internet na jogada, vai precisar de DNAT ou SNAT dependendo da orientação do tráfego. Pelo menos enquanto estivermos usando ipv4 vai ser assim. Você deve estar se perguntando, quando então vou usar forward sem uma regra de DNAT junto não é mesmo? Veja o que escrevi acima, precisa ser tráfego que atravesse o firewall E tenha internet. Pois ai estaríamos lidando com IPs públicos e privados juntos, por isso a necessidade de nat. Caso você por exemplo, vá liberar tráfego de sua LAN para sua DMZ, basta a regra de forward e habilitar o roteamento no kernel ( echo 1 /proc/sys/net/ipv4/ip_forward ), não precisa de NAT. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 16:09, Moksha Tux gova...@gmail.com escreveu: Nossa senhor Eden Caldas! Muitíssimo obrigado por essa aula, sim o senhor está certo, seria para qualquer pessoa acessar esse servidor nas portas 80 e 3306 o meu medo seria que na minha especulação se eu não amarrasse origem e destino eu correria o risco de abrir todo o acesso da internet para essas portas indiscriminadamente mas agora pelo que entendi essas portas só serão abertas para o forward de pacotes para esse servidor. Agora... já que eu sou obrigado a abrir as portas pela regra de filtro então o senhor acha que seria obrigatório a declaração das portas na regra de redirecionamento e NAT? Moksha Em 28 de abril de 2012 13:56, Eden Caldas edencal...@gmail.comescreveu: Complementando que esqueci. Sua segunda regra de forward não é necessária. E você não precisa especificar as interfaces de rede, porém é sempre bom especificar pra ficar mais amarrado. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 13:54, Eden Caldas edencal...@gmail.comescreveu: Moksha A respeito dessa regra: iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT Está quase certo. Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0 Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir. Segundo, faltou completar o -m multiport. Precisa de --dports Ficaria assim iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar: -m multiport (singular) --dports (plural) Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 28 de abril de 2012 11:15, Moksha Tux gova...@gmail.com escreveu: Boa noite e
Re: Outras Dúvidas sobre Roteador com Iptables
você também precisa liberar o foward segue um dnat completo $IPTABLES -A INPUT -p TCP -s $IP_ALL -d $1 --dport $2 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p TCP -s $IP_ALL -d $1 --dport $2 -j DNAT --to-destination $3:$4 $IPTABLES -A FORWARD -p TCP -d $3 --dport $4 -i $WAN -o $LAN -j ACCEPT $IPTABLES -A FORWARD -p TCP -s $3 -i $LAN -o $WAN -j ACCEPT Em 27-04-2012 18:34, Moksha Tux escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f9c5231.9040...@gmail.com
Re: Outras Dúvidas sobre Roteador com Iptables
Nossa Júlio muito obrigado pela ajuda mas fiquei perdidinho com as variáveis, o que seria $3:$4 sei que o : encadeia uma range ou d eportas ou de IPs seria isso mesmo? mas quando em me referi a uma tabela de hosts não seria uma range e sim alguns endereços aleatório. Moksha Em 28 de abril de 2012 17:25, Julio julio.s...@gmail.com escreveu: você também precisa liberar o foward segue um dnat completo $IPTABLES -A INPUT -p TCP -s $IP_ALL -d $1 --dport $2 -j ACCEPT $IPTABLES -t nat -A PREROUTING -p TCP -s $IP_ALL -d $1 --dport $2 -j DNAT --to-destination $3:$4 $IPTABLES -A FORWARD -p TCP -d $3 --dport $4 -i $WAN -o $LAN -j ACCEPT $IPTABLES -A FORWARD -p TCP -s $3 -i $LAN -o $WAN -j ACCEPT Em 27-04-2012 18:34, Moksha Tux escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha -- To UNSUBSCRIBE, email to debian-user-portuguese-**requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**4f9c5231.9040...@gmail.comhttp://lists.debian.org/4f9c5231.9040...@gmail.com
