Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
- Original Message -
From: Ygor Thomaz [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Wednesday, July 30, 2008 2:43 PM
Subject: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de
mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o
serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O
SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Olá Ygor!
Olha, você terá sim que adicionar a linha 'echo 1
/proc/sys/net/ipv4/ip_forward', pois ela (obviamente) 'acionará' o
forward.
Quanto às regras, estão certinhas exceto pela que faz o
redirecionamento de https, acredito que você tenha colado por engano.
O correto seria:
#iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d
${IP_INET3} --dport 443 -j DNAT --to-destination 192.168.100.4:443
Outra coisa, é que o parm -d ${IP_INET3} pode ser omitido, uma
vez que qualquer coisa que chegar (in) na eth0 virá com destino
$IP_INET3.
Fiquei meio na dúvida, se precisaria ser feito um caminho de
volta. Achei uma thread[1] na lista netfilter que fala sobre isso, dá
uma olhada depois.
[1] -
http://lists.netfilter.org/pipermail/netfilter/2002-July/036620.html
Ah, e não se esqueça, use no Subject OFF-TOPIC para assuntos
como este.
[]'s
BReno BF
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Galera desde de já obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Ygor:
Acho q vc errou de lista!
2008/7/30 Ygor Thomaz [EMAIL PROTECTED]:
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Galera desde de já obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Ygor,
O freeBSD não existem iptables.. e sim IPFW e PF..
A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ??
2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]:
Ygor:
Acho q vc errou de lista!
2008/7/30 Ygor Thomaz [EMAIL PROTECTED]:
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3} --dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Galera desde de já obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Desculpem,
deveria ter posto o OFF-TOPIC. Mandei para esta lista porque sei que muitos
trabalham com ambos os SOs.
Abraços!
2008/7/30 Cristina Fernandes Silva [EMAIL PROTECTED]
Ygor,
O freeBSD não existem iptables.. e sim IPFW e PF..
A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ??
2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]:
Ygor:
Acho q vc errou de lista!
2008/7/30 Ygor Thomaz [EMAIL PROTECTED]:
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de
mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3}
--dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3}
--dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o
serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O
SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Galera desde de já obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Uii iptables nojento demais
aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe
2008/7/30 Ygor Thomaz [EMAIL PROTECTED]:
Desculpem,
deveria ter posto o OFF-TOPIC. Mandei para esta lista porque sei que muitos
trabalham com ambos os SOs.
Abraços!
2008/7/30 Cristina Fernandes Silva [EMAIL PROTECTED]
Ygor,
O freeBSD não existem iptables.. e sim IPFW e PF..
A sua dúvida é sobre a conversão de IPTABLES para IPFW/PF é isso ??
2008/7/30 Giancarlo Rubio [EMAIL PROTECTED]:
Ygor:
Acho q vc errou de lista!
2008/7/30 Ygor Thomaz [EMAIL PROTECTED]:
Saudações pessoal,
sou novato na lista e dei uma lida em muito material legal antes de
mandar
esta pergunta. Minha duvida é a seguinte, segue meu script:
# rc.firewall
ETH_INET=eth0 # Interface ligada a Internet
ETH_DMZ=eth1 # Interface ligada a rede DMZ
IP_INET3=XXX.162.122.104/32 # Endereco IP da interface externa (alias
eth0:2)
IP_DMZ=192.168.100.1/32 # Endereco IP da interface DMZ
#--- Definicao das Politicas de Acesso ---#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Servicos disponibilizados por servidores DMZ (CRIO UMA CHAIN)
iptables -N Serv_DMZ
iptables -A Serv_DMZ -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A Serv_DMZ -j DROP
iptables -A FORWARD -o ${ETH_DMZ} -d ${IP_DMZ} -j Serv_DMZ
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3}
--dport
80 -j DNAT --to-destination 192.168.100.4:80
iptables -t nat -A PREROUTING -p TCP -i ${ETH_INET} -d ${IP_INET3}
--dport
80 -j DNAT --to-destination 192.168.100.4:443
# FIM DESCULPEM O TAMANHO!
Diante do script acima gostaria de saber se consigo disponibilizar o
serviço
que esta na DMZ. O caminho seria:
INTERNET - ETH0:2 XXX.162.122.104 - 192.168.100.4:80 (ONDE ESTA O
SERVIDOR
WEB COM GATEWAY PRO FIREWALL)
É preciso adicionar estas linhas:
echo 1 /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
??
Galera desde de já obrigado!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
2008/7/30 Leonardo Linden [EMAIL PROTECTED]: Uii iptables nojento demais aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe Espero que você tenha motivos reais pra dizer isso... Trabalho com vários SO's porém conheco grandes empresas que usam Linux/iptables em ambientes monstruosos e altamente críticos. Acho que esse tipo de resposta não faz bem a saúde da lista, IMHO, claro! []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPTABLES + NAT + PREROUTING + ETH0 ETH0:1 - Ajuda!
Boa tarde ! Realmente a lista voce errou segunte o iP-forward deve ser ativado em qualquer firewall para repassar os pacotes para outras maquina da rede outra coisa nao sei se entendi bem mas vode tme dois ips validos repondendo no firewall um na interface e outro no alias ? se for isso voce pode usar uma regra de snat para responder para o outro endereco tipo assim : entrada iptables -t nat -A PREROUTING -s 0/0 -d 172.17.1.1 -j DNAT --to 10.6.1.2 na saida iptables -t nat -A POSTROUTING -s 10.6.1.2 -d 0/0 -j SNAT --to 172.17.1.1 2008/7/30 Filipe Alvarez [EMAIL PROTECTED] 2008/7/30 Leonardo Linden [EMAIL PROTECTED]: Uii iptables nojento demais aproveita e muda de sco, vai pro freebsd e esquece esse linux ai. ehehehe Espero que você tenha motivos reais pra dizer isso... Trabalho com vários SO's porém conheco grandes empresas que usam Linux/iptables em ambientes monstruosos e altamente críticos. Acho que esse tipo de resposta não faz bem a saúde da lista, IMHO, claro! []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
