Pelo jeito ele fez uma variavel chamada 3 com o valor do IP destino. E uma
variável chamada 4 com uma porta
ex:
3=192.168.100.1
4=80
Se for isso, é estranho pois não dá pra nomear variáveis com números ou
começando com números.
Ah e esse -p TCP do exemplo também não pode ser maiúsculo.
Eden
ALL=0.0.0.0/0
Att
Em 29-04-2012 01:14, Moksha Tux escreveu:
$IPTABLES -A INPUT -p TCP -s ALL -d 200.200.200.200 --dport 80 -j
ACCEPT
$IPTABLES -t nat -A PREROUTING -p TCP -s ALL -d 200.200.200.200
--dport 80 -j DNAT --to-destination 10.10.10.10:80
$IPTABLES -A FORWARD -p TCP -d
Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz!
Sim a política padrão que estou adotando é DROP neste caso serei obrigado a
criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de
amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o
Moksha
A respeito dessa regra:
iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m
multiport 80,3306 -J ACCEPT
Está quase certo.
Primeira, não deve ser usado aí o -s com o IP externo na sua regra de
forward. O -s seria para tratar a origem do pacote e você está querendo que
ele
Complementando que esqueci. Sua segunda regra de forward não é necessária.
E você não precisa especificar as interfaces de rede, porém é sempre bom
especificar pra ficar mais amarrado.
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9747
(81) 9653 7220
LINUX FÁCIL – Consultoria e
Nossa senhor Eden Caldas!
Muitíssimo obrigado por essa aula, sim o senhor está certo, seria para
qualquer pessoa acessar esse servidor nas portas 80 e 3306 o meu medo seria
que na minha especulação se eu não amarrasse origem e destino eu correria o
risco de abrir todo o acesso da internet para
Moksha.
São necessárias as duas coisas.
Quem realmente abre a porta é o programa servidor.
A regra de forward libera o tráfego passar, ou seja, atravessar o firewall
que está no meio.
A regra de DNAT é necessária pois quem realmente está na internet é seu
firewall.
Pra ficar mais claro. Caso o
Poxa meu querido muito obrigado por tudo isso!
É que estou acostumado a manusear o pf e quando vou traduzir as regras
para iptables fico realmente confuso mas agora está muito mais clareado.
depois com mais calma vou tirar outras dúvidas com o senhor referente a
algumas sintaxes e regras que
você também precisa liberar o foward
segue um dnat completo
$IPTABLES -A INPUT -p TCP -s $IP_ALL -d $1 --dport $2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p TCP -s $IP_ALL -d $1 --dport $2 -j
DNAT --to-destination $3:$4
$IPTABLES -A FORWARD -p TCP -d $3 --dport $4 -i $WAN -o $LAN -j ACCEPT
Nossa Júlio muito obrigado pela ajuda mas fiquei perdidinho com as
variáveis, o que seria $3:$4 sei que o : encadeia uma range ou d eportas
ou de IPs seria isso mesmo? mas quando em me referi a uma tabela de hosts
não seria uma range e sim alguns endereços aleatório.
Moksha
Em 28 de abril de
Queridos amigos!
escrevendo o meu script de firewall me deparei com uma inquietante
dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e
especificando as portas somente isso já seria o suficiente para eu
estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo
Se a política padrão no seu script for DROP para as regras de forward, ou
se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de
filter.
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9747
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI
Em 27 de abril de
12 matches
Mail list logo