Re: Problema com Iptables
Caro Henrique e Pessoal da Lista,
O ADSL permite q eu rode servidor web pois usava no windows tudo blz, vou
falar um pouco das minhas regar no firewall:
- As politicas são:
##### Definição de Politicas #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
- Regras:
- Meu IMPUT é DROP mais eu tenho uma chain q libera e barra todos
os acessos.
- já no forward tenho o seguinte:
iptables -A FORWARD -d 10.10.0.0/16 -i ppp0 -o eth0 -j ACCEPT
iptables -A FORWARD -s 10.10.0.0/16 -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
Que pelo quis fazer, libera tudo q entra de ppp0 para eth0, o que
entra eth0 para ppp0, o resto eu gravo no log e depois bloqueio.
- O nat, digo q a politica de POSTROUTING é DROP, pq tenho o Squid
instalado e quero obrigar a usar ele.
Pelo momento é só, se Henrique vc poder me ajudar posso mandar as regras
pra vc dar uma analizada melhor.
Agradeço a todos, []'s
---
.''`. Emanuel Ferreira Silva
: :' : efs@myrealbox.com - MaNEuL
`. `'` GNU/Linux User Debian
`-
On Mon, 16 Jun 2003, Henrique Pedroni Neto wrote:
> Dois problemas que eu vejo:
>
> -- Ou suas regras estão erradas:
>
> - A regra de NAT que passou está faltando uma informação nela, o correto
> seria isso:
>
> iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT
> --to 172.1.1.10:80
>
> - Mas não basta somente liberar a entrada na tabela NAT, se a sua chain
> FORWARD estiver com a política padrão para DROP e você não liberar a passagem do
> pacote por ela, também não funciona. Recentemente nessa lista dei uma explicação
> mais clara do que essa que passei agora, sugiro que olhe no histórico caso
> surjam dúvidas, mas a regra que tem que colocar é essa:
>
> iptables -A FORWARD -p tcp -d 127.1.1.10 --dport 80 -j ACCEPT
>
> Sugiro que não use ip's que começam com 127, tente usar o padrão para redes
> internas que é 192.168.0.0 ou 10.0.0.0
>
> O comando correto para ver as regras de nat é:
> iptables -t nat -L
>
> -- Ou então o adsl que você usa não permite o acesso na porta 80.
>
> - Veja por exemplo o caso do Speedy da Telefônica, ele tem duas versões o
> Bussines e o Normal, o bussines é mais caro e permite acesso a todas as portas
> na máquina em que está instalado, já o Normal deixa tudo fechado, além de ter ip
> dinâmico e não estático.
>
> - Confirme se consegue acessar essas portas pelo seu ADSL se sim, o problema
> está nas regras.
>
>
> []'s
> Henrique
>
> | Colegas,
> |
> |
> | É o seguinte ... seguindo a ajuda de alguns companherios da lista
> |que tentaram me ajuda com o PREROUTING no NAT no Iptables mais ate agora
> |nao estou conseguindo, minha situação hoje é, tenho uma rede caseira com
> |adsl para ser compartilhado, meu firewall é um PC 486 DX4-100 ta
> |funcionando filé, tenho minha maquina e mais dois PC antigos K7-300 pra
> |ser meu Web-Server (o thttpd é o servidor), uso Iptables fazer o NAT,
> |masquarading da rede interna pra a internet ta tudo OK, mais pra fazer o
> |PREROUTING ta complicado, essa é a regra para q o aconteca o DNAT para o
> |serviço de Web-SERVER:
> |iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT 172.1.1.10:80
> |Qual o problema com essa regar??
> |
> |Como faço para ver as regas q estão aplicadas no chain NAT, ja q o comando
> |iptables -L nat, nao funciona??
> |
> |
> |ufa!
> |
> |
> |[]'s
> |
> |
> |Emanuel Ferreira da Silva
> |
> |---
> | .''', Emanuel Ferreira Silva
> |: :' : efs@myrealbox.com - MaNEuL
> |`. `'` GNU/Linux User Debian
> |`-
> |
> |
> |--
> |To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> |with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> |
>
>
> --
> Henrique Pedroni Neto
> Administrador de Rede - ITAL (http://www.ital.org.br)
> E-mail: henrique@ital.org.br
> UIN: 8146255
> Dúvidas sobre Debian? Visite o Rau-Tu: http://rautu.cipsga.org.br
> "One foot to rule them all" - GNOME
>
>
Reply to: