Re: RES: Problemas com IPtables

To: <debian-user-portuguese@lists.debian.org>
Subject: Re: RES: Problemas com IPtables
From: Christian Lyra <lyra@pop-pr.rnp.br>
Date: Fri, 13 Jun 2003 09:18:24 -0300
Message-id: <[🔎] 200306130918.24221.lyra@pop-pr.rnp.br>
In-reply-to: <[🔎] 001d01c3311f$442aaae0$1d0a0a0a@sup002>
References: <[🔎] 001d01c3311f$442aaae0$1d0a0a0a@sup002>

Ois,

	sorry... mas vc está errado... Existe sim PREROUTING e POSTROUTING. Essas 
chains são a primeira e a última a serem "atravessadas", e se referem a ações 
que serão feitas antes da tomada de decisão de roteamento e após a tomada de 
decisão de roteamento, respectivamente. As chains INPUT e OUTPUT se referem 
apenas a pacotes com destino e origem a própria máquina. Pacotes que 
"atravessam" a máquina passam pela chain forward. Se por um exemplo vc 
dropasse tudo nas chains input e output mas liberasse tudo na chain FORWARD o 
efeito seria de que essa máquina repassaria qualquer pacote de uma máquina 
para outra, mas ela mesmo ficaria incomunicavel. sacou?

	Quantos as chains PREROUTING e POSTROUTING é bem fácil.. basta pensar no que 
acontece quando os pacotes irão entrar ou sair da máquina. Por exemplo, se eu 
quero fazer NAT (SNAT para ser exato), o pacote entra na máquina, eu vejo de 
quem ele veio (origem), vejo para onde vai (destino), tomo a decisão de 
roteamento (ex, vai sair pela interface eth0), e finalmente quando o pacote 
está prestes a sair da máquina eu troco o  endereço de origem dele na chain 
POSTROUTING, se isso fosse feito em qualquer outra chain, bagunçaria tudo... 
Fica como "exercício" imaginar o que acontece no PREROUTING e para o que ela 
serve :-)


On Thursday 12 June 2003 17:14, Anderson wrote:
> Primeiro creio que não exista politica de Prerouting, somente
> input,output e forward.
> Para uma requisição passar pelo firewall e chegar a uma maquina destino
> ela precisa
> fazer o seguinte percurso:
> - Chegar na maquina(ser aceita por uma regra INPUT)
> - Passar pela maquina (ser liberada por uma regra FORWARD)
> - Ser redirecionada para a maquina de destino (regra PREROUTING)
> - Ter direito de sair da maquina (Regra OUTPUT)
> Então com base no seu email anterior, seria necessario criar uma regra
> input aceitando
> a conexão a porta 80 e uma regra de Formard aceitando o pacote
> atravessar a maquina até
> o seu destino.
>
> Sds,
>
> Anderson
>
> -----Mensagem original-----
> De: Flávio Cruz [mailto:fcruz@fnet.org.br]
> Enviada em: quinta-feira, 12 de junho de 2003 18:52
> Para: debian-user-portuguese@lists.debian.org
> Assunto: Problemas com IPtables
>
>
> Olá, pessoal
>
> tenho a seguinte estrutura:
>
> Estou precisando redirecionar todas as requisições da porta 80
> de um IP externo,
> para um servidor interno local.
>
> estou usando a seguinte regra:
> iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80
> DNAT --to 10.10.1.2
>
> estou sando a seguinte politica:
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD DROP
> iptables -P PREROUTING ACCEPT
>
>
> Desde já agradeço.
>
> ____________________________
> Flávio Cruz

-- 
Christian Lyra
POP-PR - RNP

http://lyra.soueu.com.br
http://wecanstopspam.org

  Thus spake the master programmer: 
  ``It is time for you to leave.'' 
						The Tao Of Programing

Reply to:

Follow-Ups:
- RES: RES: Problemas com IPtables
  - From: "Anderson" <anderson@mfplan.com.br>

References:
- RES: Problemas com IPtables
  - From: "Anderson" <anderson@mfplan.com.br>

Prev by Date: Re: Java não reconhece caracteres não americanos.
Next by Date: Re: Java não reconhece caracteres não americanos.
Previous by thread: RES: Problemas com IPtables
Next by thread: RES: RES: Problemas com IPtables
Index(es):
- Date
- Thread