Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
- Original Message - From: Ygor Thomaz [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, July 30, 2008 2:43 PM Subject: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda! Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Olá Ygor! Olha, você terá sim que adicionar a linha 'echo 1 /proc/sys/net/ipv4/ip_forward', pois ela (obviamente) 'acionará' o forward. Quanto às regras, estão certinhas exceto pela que faz o redirecionamento de https, acredito que você tenha colado por engano. O correto seria: #iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 443 -j DNAT --to-destination 192.168.100.4:443 Outra coisa, é que o parm -d ${IP_INET3} pode ser omitido, uma vez que qualquer coisa que chegar (in) na eth0 virá com destino $IP_INET3. Fiquei meio na dúvida, se precisaria ser feito um caminho de volta. Achei uma thread[1] na lista netfilter que fala sobre isso, dá uma olhada depois. [1] - http://lists.netfilter.org/pipermail/netfilter/2002-July/036620.html Ah, e não se esqueça, use no Subject OFF-TOPIC para assuntos como este. []'s BReno BF - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Galera desde de já obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Ygor: Acho q vc errou de lista! 2008/7/30 Ygor Thomaz [EMAIL PROTECTED]: Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Galera desde de já obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Ygor, O freeBSD não existem iptables.. e sim IPFW e PF.. A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ?? 2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]: Ygor: Acho q vc errou de lista! 2008/7/30 Ygor Thomaz [EMAIL PROTECTED]: Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Galera desde de já obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Desculpem, deveria ter posto o OFF-TOPIC. Mandei para esta lista porque sei que muitos trabalham com ambos os SOs. Abraços! 2008/7/30 Cristina Fernandes Silva [EMAIL PROTECTED] Ygor, O freeBSD não existem iptables.. e sim IPFW e PF.. A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ?? 2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]: Ygor: Acho q vc errou de lista! 2008/7/30 Ygor Thomaz [EMAIL PROTECTED]: Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Galera desde de já obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Uii iptables nojento demais aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe 2008/7/30 Ygor Thomaz [EMAIL PROTECTED]: Desculpem, deveria ter posto o OFF-TOPIC. Mandei para esta lista porque sei que muitos trabalham com ambos os SOs. Abraços! 2008/7/30 Cristina Fernandes Silva [EMAIL PROTECTED] Ygor, O freeBSD não existem iptables.. e sim IPFW e PF.. A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ?? 2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]: Ygor: Acho q vc errou de lista! 2008/7/30 Ygor Thomaz [EMAIL PROTECTED]: Saudações pessoal, sou novato na lista e dei uma lida em muito material legal antes de mandar esta pergunta. Minha duvida é a seguinte, segue meu script: # rc.firewall ETH_INET=eth0 # Interface ligada a Internet ETH_DMZ=eth1 # Interface ligada a rede DMZ IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias eth0:2) IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ #--- Definicao das Politicas de Acesso ---# iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP # Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN) iptables -N Serv_DMZ iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT iptables -A Serv_DMZ -j DROP iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:80 iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport 80 -j DNAT --to-destination 192.168.100.4:443 # FIM DESCULPEM O TAMANHO! Diante do script acima gostaria de saber se consigo disponibilizar o serviço que esta na DMZ. O caminho seria: INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR WEB COM GATEWAY PRO FIREWALL) É preciso adicionar estas linhas: echo 1 /proc/sys/net/ipv4/ip_forward modprobe iptable_nat ?? Galera desde de já obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
2008/7/30 Leonardo Linden [EMAIL PROTECTED]: Uii iptables nojento demais aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe Espero que você tenha motivos reais pra dizer isso... Trabalho com vários SO's porém conheco grandes empresas que usam Linux/iptables em ambientes monstruosos e altamente críticos. Acho que esse tipo de resposta não faz bem a saúde da lista, IMHO, claro! []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Boa tarde ! Realmente a lista voce errou segunte o iP-forward deve ser ativado em qualquer firewall para repassar os pacotes para outras maquina da rede outra coisa nao sei se entendi bem mas vode tme dois ips validos repondendo no firewall um na interface e outro no alias ? se for isso voce pode usar uma regra de snat para responder para o outro endereco tipo assim : entrada iptables -t nat -A PREROUTING -s 0/0 -d 172.17.1.1 -j DNAT --to 10.6.1.2 na saida iptables -t nat -A POSTROUTING -s 10.6.1.2 -d 0/0 -j SNAT --to 172.17.1.1 2008/7/30 Filipe Alvarez [EMAIL PROTECTED] 2008/7/30 Leonardo Linden [EMAIL PROTECTED]: Uii iptables nojento demais aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe Espero que você tenha motivos reais pra dizer isso... Trabalho com vários SO's porém conheco grandes empresas que usam Linux/iptables em ambientes monstruosos e altamente críticos. Acho que esse tipo de resposta não faz bem a saúde da lista, IMHO, claro! []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd