Re: Problema com Iptables

To: Henrique Pedroni Neto <henrique@ital.org.br>
Cc: Lista Debian BR <debian-user-portuguese@lists.debian.org>
Subject: Re: Problema com Iptables
From: Emanuel F Silva <emanuel@myrealbox.com>
Date: Mon, 16 Jun 2003 18:03:54 -0300 (BRT)
Message-id: <[🔎] Pine.LNX.4.44.0306161732580.453-100000@gandalf.cac>
In-reply-to: <[🔎] 20030616092448.4aa894d8.henrique@ital.org.br>

Caro Henrique e Pessoal da Lista,


O ADSL permite q eu rode servidor web pois usava no windows tudo blz, vou
falar um pouco das minhas regar no firewall:

- As politicas são:
##### Definição de Politicas #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP

- Regras:

	- Meu IMPUT é DROP mais eu tenho uma chain q libera e barra todos
os acessos.
	- já no forward tenho o seguinte:
	iptables -A FORWARD -d 10.10.0.0/16 -i ppp0 -o eth0 -j ACCEPT
	iptables -A FORWARD -s 10.10.0.0/16 -i eth0 -o ppp0 -j ACCEPT
	iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
	iptables -A FORWARD -j DROP
	Que pelo quis fazer, libera tudo q entra de ppp0 para eth0, o que
entra eth0 para ppp0, o resto eu gravo no log e depois bloqueio.
	- O nat, digo q a politica de POSTROUTING é DROP, pq tenho o Squid
instalado e quero obrigar a usar ele.


Pelo momento é só, se Henrique vc poder me ajudar posso mandar as regras
pra vc dar uma analizada melhor.


Agradeço a todos, []'s


---
 .''`.  Emanuel Ferreira Silva
: :' :  efs@myrealbox.com - MaNEuL
`. `'`  GNU/Linux User Debian
`-

On Mon, 16 Jun 2003, Henrique Pedroni Neto wrote:

> Dois problemas que eu vejo:
>
> -- Ou suas regras estão erradas:
>
>   - A regra de NAT que passou está faltando uma informação nela, o correto
> seria isso:
>
> iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT
> --to 172.1.1.10:80
>
>   - Mas não basta somente liberar a entrada na tabela NAT, se a sua chain
> FORWARD estiver com a política padrão para DROP e você não liberar a passagem do
> pacote por ela, também não funciona. Recentemente nessa lista dei uma explicação
> mais clara do que essa que passei agora, sugiro que olhe no histórico caso
> surjam dúvidas, mas a regra que tem que colocar é essa:
>
> iptables -A FORWARD -p tcp -d 127.1.1.10 --dport 80 -j ACCEPT
>
> Sugiro que não use ip's que começam com 127, tente usar o padrão para redes
> internas que é 192.168.0.0 ou 10.0.0.0
>
> O comando correto para ver as regras de nat é:
> iptables -t nat -L
>
> -- Ou então o adsl que você usa não permite o acesso na porta 80.
>
>   - Veja por exemplo o caso do Speedy da Telefônica, ele tem duas versões o
> Bussines e o Normal, o bussines é mais caro e permite acesso a todas as portas
> na máquina em que está instalado, já o Normal deixa tudo fechado, além de ter ip
> dinâmico e não estático.
>
>   - Confirme se consegue acessar essas portas pelo seu ADSL se sim, o problema
> está nas regras.
>
>
> []'s
> Henrique
>
> |	Colegas,
> |
> |
> |	É o seguinte ... seguindo a ajuda de alguns companherios da lista
> |que tentaram me ajuda com o PREROUTING no NAT no Iptables mais ate agora
> |nao estou conseguindo, minha situação hoje é, tenho uma rede caseira com
> |adsl para ser compartilhado, meu firewall é um PC 486 DX4-100 ta
> |funcionando filé, tenho minha maquina e mais dois PC antigos K7-300 pra
> |ser meu Web-Server (o thttpd é o servidor), uso Iptables fazer o NAT,
> |masquarading da rede interna pra a internet ta tudo OK, mais pra fazer o
> |PREROUTING ta complicado, essa é a regra para q o aconteca o DNAT para o
> |serviço de Web-SERVER:
> |iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT 172.1.1.10:80
> |Qual o problema com essa regar??
> |
> |Como faço para ver as regas q estão aplicadas no chain NAT, ja q o comando
> |iptables -L nat, nao funciona??
> |
> |
> |ufa!
> |
> |
> |[]'s
> |
> |
> |Emanuel Ferreira da Silva
> |
> |---
> | .''',  Emanuel Ferreira Silva
> |: :' :  efs@myrealbox.com - MaNEuL
> |`. `'`  GNU/Linux User Debian
> |`-
> |
> |
> |--
> |To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> |with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> |
>
>
> --
> Henrique Pedroni Neto
> Administrador de Rede - ITAL (http://www.ital.org.br)
> E-mail: henrique@ital.org.br
> UIN: 8146255
> Dúvidas sobre Debian? Visite o Rau-Tu: http://rautu.cipsga.org.br
> "One foot to rule them all" - GNOME
>
>

Reply to:

References:
- Re: Problema com Iptables
  - From: Henrique Pedroni Neto <henrique@ital.org.br>

Prev by Date: RE: off-topic impressao remota ADSL
Next by Date: Não dá pra mover janela muito grande no Gnome2.2
Previous by thread: Re: Problema com Iptables
Next by thread: Re: Problema com Iptables
Index(es):
- Date
- Thread