Iptables por si soh eh extremamente complexo.. nem gosto muito de mexer com ele prefiro ipfw, eh mais "intuitivo" nao tem zilhoes de tabelas (tah, nao sao zilhoes) entao fica mais facil de gerenciar... por isso que tem tao poucas pessoas fluentes em iptables ;D
regards 2010/5/11 Andre Ramoni <[email protected]>: > > On May 11, 2010, at 11:49 AM, Alexandre Pereira Bühler wrote: > > Você tem razão não preciso abrir a entrada (INPUT) no firewall e usar > também O FORWARD se já redireciono a porta (PREROUNTING) para uma máquina na > rede. Quais as outras incoerências? Desejo aprender no que erro. Aprender a > fazer é melhor que ctrl+c e ctrl+v. > Tirei o INPUT e FORWARD além do udp para 3389 do script. > > O FORWARD precisa manter. O PREROUTING faz apenas o nat, daí basta a regra > de forward pra permitir, o input é que nao precisa. > > Quanto a vpn na época usei o openvpn e dentro da vpn as máquinas tinham > ping, apareciam no ambiente de rede. Tudo certinho. Apenas 2 máquinas com > windows tinham problema para enxergar por exemplo uma outra máquina dentro > da filial e mandar uma impressão. As outras funcionavam perfeitamente. As > vezes elas não enxergavam nem o PDC da rede e deixavam de aplicar o policy. > Tivemos de reinstalar o windows para funcionar. Agora fica a dúvida era algo > do windows ou da vpn que montei. Mais provável que seja do windows. > Instalei o Slackware para aprender a fundo as coisas e oferecer um > serviço melhor aos meus clientes. E acredite aprendi coisas novas todos os > dias. Como aprendo agora com vocês. Eu precisava tirar aquele conceito que > Slackware é somente para usuários avançados. Ele serve para qualquer um e é > o que achei mais flexível de todos em minha opinião pessoal. Talvez se > tivesse usado antes aprenderia as coisas mais rapidamente. > Entendi sobre o ipv6. > Sobre o GNU/Linux posso citar Platão "Só sei que nada sei.". Todo dia é > uma novidade e quanto mais aprendo mais fico perplexo com minha ignorância. > > Esta certo mesmo. > Só o que nao se pode fazer é ser responsavel por algo que nao conhece. > Nessas horas é melhor assumir que tem que aprender. > Se nao, nego que nao sabe e le um howto no google acaba montando um ambiente > tao desnecessariamente complexo que quando da pau, nem um senior consegue > endireitar tudo de forma agil... aí da-lhe novo projeto, custos etc. E eu to > CANSADO de ver isso hehe... nego só chama quando a merda ja ta feita.... até > dar um problema serio, o gerente acha que o newbie ta fazendo tudo certo. > O pior cara, é que eu nao conheco um bom how-to de iptables, nem livro. Em > tudo que ja li sobre iptables tinha besteira.... > > Max e Eliel vou experimentar seus conselhos. Com a vpn não dependeria da > máquina atualizar o no-ip para depois as regras do firewall dar certo. > Graças ao bom Deus meu cliente tem ip fixo na matriz oque facilita bastante > as coisas. > Obrigado a todos. > > > > > > Em 11-05-2010 02:14, Andre Ramoni escreveu: > > Alexandre, > > O endereco mac existe para a resolucao de arp, ou seja, "em que porta so > switch esta este IP ?". Resumindo, mesmo meio físico. > Apesar de existir mac sobre enlaces mpls e outros, nao creio que este seja > seu caso. > > Mas quanto ao IPV6 voce se engana, apenas cairia no mesmo problema do ipv4 > sim, precisaria ser fixo (o que muito provavelmente será quando for adotado > mesmo em links nao corporativos). > > A VPN parece mesmo ser a melhor solucao, mas porque voce precisa de VPN em > cada host ? > Porque nao poderia ser site-to-site ? Voce controlaria quais hosts poderiam > acessar com regras de firewall normais, mas a VPN poderia sim servir para > unir as redes. E mesmo que a VPN fosse em cada host, eles só se > "enxergariam" (enxergar na rede pra mim é ping) se voce liberasse o tráfego > SMB do windos. > > Custos: nas filiais nao tem roteador, access point, ou roteadores simples ? > Por mais que voce nao possa colocar um fw em cada filial, esses outros > equipamentos costumam fazer VPNs ipsec ou pptp tambem... > > > Sobre seu script: a parte que voce colou ja apresenta varias incoerencias. > Pra comentar uma, porque voce libera no INPUT e no FORWARD o trafego com > destino a 3389/tcp se na verdade voce redireciona para 192.168.1.3 ??? > Em que how-to voce viu que precisava liberar na FORWARD e na INPUT ? Jogue > fora esse how-to e diga para o autor que o kernel atual nao é mais o 2.2 nem > o firewall é o ipchains. > No script tambem nao mostra a parte em que voce define as politicas default, > mas espero que haja em alguma parte a definicao das politicas para DROP. > > > > On May 11, 2010, at 1:42 AM, Alexandre Pereira Bühler wrote: > > > > André, > Boa noite, > Depois desta fui dormir. É isso que me falta além do conhecimento mais > específico. > Nem pensei que estava querendo colocar uma camada OSI 2 (ARP) e 3 OSI > (IP) na camada 4 OSI (TCP, UDP e etc). > Isto na minha mente é claro. E ainda assim posso ter falado besteira. Também > esqueci que o mac address pode ser usado no mesmo enlace mas não em enlaces > diferentes como intranet/internet > As vezes nós cometemos muita bobeira. > Se eu usa-se arping 200.xxx.xxx.xxx ficaria numa espera muito, mas muito > demorada, pro resto da vida. O pacote de broadcast enviado pelo arping não é > encaminhado pelo gateway da rede (internet) e mesmo que fosse seria > descartado no primeiro roteador. Mesmo que quisesse o broadcast e multicast > não é nativo no atm usado pelo adsl. Teria que usar de artifícios sobre o > atm... Com o ipv6 acho que fica pior já não temos broadcast somente > multicast e blablabla. Enfim, foi falta de sono e conhecimento específico > Somente me resta ip fixo ou um no-ip da vida na filiais... > Neste caso podem me dar uma idéia melhor? Pois o acesso ao TS (terminal > service) deverá ficar liberado apenas ao adsl (ip) das filiais. Já pensei em > VPN, mas se ligasse cada computador numa vpn não mataria a rede local na > filial? Uma vez fiz isso e alguns Rwindows não enxergavam a rede local. > Sei que poderia colocar um firewall+vpn para fazer a vpn nas filiais. O > problema é que enfrento o fator comum na informática: reduzir custos, > firewall com vpn em cada filial nem pensar. > > Tenho duas adsl: uma ip dinâmico para acesso a internet e outra adsl ip > fixo somente para TS com entrada no mesmo firewall que distribui para > intranet. O servidor TS está na intranet. A placa mãe por falta de slot não > permite fazer DMZ. > Parte do meu script está aqui em baixo (sei que falta o restante como fechar > tudo, proteção deny dos e etc). > Não é necessário me dar tudo debulhado. Somente me indiquem o que pesquisar. > > # Limpa as regras > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > #### "Libera LocalHost" > iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > # libera terminal service > iptables -A INPUT -i eth2 -p TCP --dport 3389 --syn -j ACCEPT > iptables -A INPUT -i eth2 -p UDP --dport 3389 -j ACCEPT > iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389 -j > ACCEPT > > ### (preciso mudar a regra abaixo pois libera o TS para qualquer rede / ip) > > iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389 -j > DNAT --to-destination 192.168.1.3 > iptables -A FORWARD -j LOG --log-prefix "Serviço: TS " > > ### cria rotas para saída da internet pelo adsl interno (ip dinâmico) tabela > 200 internet no rt_tables > ip route add default dev eth1 via 192.168.2.1 table internet > ip rule add from 191.168.1.0/24 lookup internet > > ### Marca pacotes para saída pelo adsl interno (ip dinâmico) > iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK > --set-mark 1 > iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j MARK > --set-mark 1 > iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 110 -j MARK > --set-mark 1 > iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 25 -j MARK > --set-mark 1 > > ## cria marca na tabela 200 internet e limpa cache rota > ip rule add fwmark 1 lookup internet > ip route flush cached > > # nat com internet adsl ip fixo (TS) e adsl dinâmico (internet) > iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > > Obrigado > > -- > Alexandre Pereira Bühler > Técnico Eletroeletrônica - Senai - MG > Linux User: 397.546 > Colunista:www.delphisophp.com > Owner:http://br.groups.yahoo.com/group/freepascal/ > Liberdade é essencial. Use GNU/Linux. > Legalize os softwares de sua empresa > > Simão& Bühler Ltda (Infobrindes) > Instalação, manutenção e venda de servidores GNU/Linux. > http://www.simaoebuhler.com.br > Hardware acesse, veja e tenha produtos com qualidade, garantia e nota > fiscal. > http://www.simaoebuhler.com.br/loja > [email protected] > Telefone: (41) 3538-5428 > > Infobrindes (Simão& Bühler Ltda) > Brindes e material promocional. > http://www.infobrindes.com.br > [email protected] > Telefone: (41) 3532-5428 > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > > > > > -- > Alexandre Pereira Bühler > Técnico Eletroeletrônica - Senai - MG > Linux User: 397.546 > Colunista: www.delphisophp.com > Owner: http://br.groups.yahoo.com/group/freepascal/ > Liberdade é essencial. Use GNU/Linux. > Legalize os softwares de sua empresa > > Simão& Bühler Ltda (Infobrindes) > Instalação, manutenção e venda de servidores GNU/Linux. > http://www.simaoebuhler.com.br > Hardware acesse, veja e tenha produtos com qualidade, garantia e nota > fiscal. > http://www.simaoebuhler.com.br/loja > [email protected] > Telefone: (41) 3538-5428 > > Infobrindes (Simão& Bühler Ltda) > Brindes e material promocional. > http://www.infobrindes.com.br > [email protected] > Telefone: (41) 3532-5428 > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
