RES: RES: Problemas com IPtables
Realmente estou errado, mas se ele não liberar a porta com a politica de
INPUT dele estando em DROP, o pacote não vai chegar a maquina de
destino, pois o pacote chega até a maquina (firewall)com ela como
destino, e daí ela pega dependendo da porta e redireciona para uma
maquina da rede, creio que esse negocio do prerouting sem passar pelo
input só deva funcionar , com pacotes que tenham um outro destino e a
maquina firewall seja um roteador, aqui eu utilizo muito o
redirecionamento e se não liberar a porta e seguir este raciocinio o
pacote não chega até o destino não.
Sds,
Anderson
-----Mensagem original-----
De: Christian Lyra [mailto:lyra@pop-pr.rnp.br]
Enviada em: sexta-feira, 13 de junho de 2003 9:18
Para: debian-user-portuguese@lists.debian.org
Assunto: Re: RES: Problemas com IPtables
Ois,
sorry... mas vc está errado... Existe sim PREROUTING e
POSTROUTING. Essas
chains são a primeira e a última a serem "atravessadas", e se referem a
ações
que serão feitas antes da tomada de decisão de roteamento e após a
tomada de
decisão de roteamento, respectivamente. As chains INPUT e OUTPUT se
referem
apenas a pacotes com destino e origem a própria máquina. Pacotes que
"atravessam" a máquina passam pela chain forward. Se por um exemplo vc
dropasse tudo nas chains input e output mas liberasse tudo na chain
FORWARD o
efeito seria de que essa máquina repassaria qualquer pacote de uma
máquina
para outra, mas ela mesmo ficaria incomunicavel. sacou?
Quantos as chains PREROUTING e POSTROUTING é bem fácil.. basta
pensar no que
acontece quando os pacotes irão entrar ou sair da máquina. Por exemplo,
se eu
quero fazer NAT (SNAT para ser exato), o pacote entra na máquina, eu
vejo de
quem ele veio (origem), vejo para onde vai (destino), tomo a decisão de
roteamento (ex, vai sair pela interface eth0), e finalmente quando o
pacote
está prestes a sair da máquina eu troco o endereço de origem dele na
chain
POSTROUTING, se isso fosse feito em qualquer outra chain, bagunçaria
tudo...
Fica como "exercício" imaginar o que acontece no PREROUTING e para o que
ela
serve :-)
On Thursday 12 June 2003 17:14, Anderson wrote:
> Primeiro creio que não exista politica de Prerouting, somente
> input,output e forward. Para uma requisição passar pelo firewall e
> chegar a uma maquina destino ela precisa
> fazer o seguinte percurso:
> - Chegar na maquina(ser aceita por uma regra INPUT)
> - Passar pela maquina (ser liberada por uma regra FORWARD)
> - Ser redirecionada para a maquina de destino (regra PREROUTING)
> - Ter direito de sair da maquina (Regra OUTPUT)
> Então com base no seu email anterior, seria necessario criar uma regra
> input aceitando
> a conexão a porta 80 e uma regra de Formard aceitando o pacote
> atravessar a maquina até
> o seu destino.
>
> Sds,
>
> Anderson
>
> -----Mensagem original-----
> De: Flávio Cruz [mailto:fcruz@fnet.org.br]
> Enviada em: quinta-feira, 12 de junho de 2003 18:52
> Para: debian-user-portuguese@lists.debian.org
> Assunto: Problemas com IPtables
>
>
> Olá, pessoal
>
> tenho a seguinte estrutura:
>
> Estou precisando redirecionar todas as requisições da porta 80 de um
> IP externo, para um servidor interno local.
>
> estou usando a seguinte regra:
> iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport
> 80 DNAT --to 10.10.1.2
>
> estou sando a seguinte politica:
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD DROP
> iptables -P PREROUTING ACCEPT
>
>
> Desde já agradeço.
>
> ____________________________
> Flávio Cruz
--
Christian Lyra
POP-PR - RNP
http://lyra.soueu.com.br
http://wecanstopspam.org
Thus spake the master programmer:
``It is time for you to leave.''
The Tao Of Programing
--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to: