[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: duvida com iptables

Em 19/06/07, Maxwillian Miorim<miorimmax@gmail.com> escreveu:

On 6/19/07, Clayton Nogueira <clayton.nog@gmail.com> wrote:
> Em 19/06/07, Maxwillian Miorim<miorimmax@gmail.com> escreveu:
> > On 6/19/07, Denis <denismpa@gmail.com> wrote:
> > > Em 19/06/07, Clayton Nogueira<clayton.nog@gmail.com> escreveu:
> > > > pessoal eu tenho que redirecionar entradas pela porta 22 do meu firewall
> > > >
> > > > para uma máquina da rede interna com ip x.x.x.14 ...
> > > >
> > > > sei que posso fazer isso diretamente pelo router
> > > >
> > > > mas quero fazer atraves do iptables
> > > >
> > > > achei a seguinte solução, gostaria de saber se está correto.
> > > >
> > > > eth0 = rede externa
> > > > eth1 = rede interna
> > > >
> > > > #ssh
> > > > iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
> > > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 10.0.0.14
> > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT
> > > --to-destination 10.0.0.14
> >
> > --to e --to-destination são equivalentes, não tem problema em usr um ou o outro.
> >
> > A regra deve ser feita no chain FORWARD, seria assim:
> >
> > iptables -A FORWARD -p tcp --dport 22 -d 10.0.0.14 -j ACCEPT
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 10.0.0.14
> >
> >
> > INPUT = o que entra na própria máquina
> > OUTPUT = o que sai da própria máquina
> > FORWARD = o que *passa* pela máquina mas não é originado e/ou destinado a esta
> >
> > --
> > Por favor não faça top-posting, coloque a sua resposta abaixo desta linha.
> > Please don't do top-posting, put your reply below the following line.
> > --------------------------------------------------------
> >
> >
>
> agora eu fiz umas regras para liberar o ssh e o ftp, gostaria de saber
> se está correto, olha:
>
> #ssh
> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
> iptables -A FORWARD -p TCP -i eth1 --dport 22 -d 10.0.0.0/24 -j ACCEPT
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 10.0.0.14
>
> #ftp
> iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
> iptables -A FORWARD -p TCP -i eth1 --dport 20 -d 10.0.0.0/24 -j ACCEPT
> iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
> iptables -A FORWARD -p TCP -i eth1 --dport 21 -d 10.0.0.0/24 -j ACCEPT
> iptables -A INPUT -p udp --destination-port 20 -j ACCEPT
> iptables -A FORWARD -p udp -i eth1 --dport 20 -d 10.0.0.0/24 -j ACCEPT
> iptables -A INPUT -p udp --destination-port 21 -j ACCEPT
> iptables -A FORWARD -p udp -i eth1 --dport 21 -d 10.0.0.0/24 -j ACCEPT
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to 10.0.0.14
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 10.0.0.14


Está certo, mas não precisa das regras de INPUT já que o pacote nunca
é destinado para o teu firewall, e sim passa por ele.

Só presta atenção nas regras que fez para o protocolo UDP na porta 21:
a tua regra de nat foi feita para TCP e por isso pode não funcionar.

Também evita liberar a entrada para toda a tua rede, limitando-a a um
host específico.
--
Por favor não faça top-posting, coloque a sua resposta abaixo desta linha.
Please don't do top-posting, put your reply below the following line.
--------------------------------------------------------



Valeu pessoal, muito obrigado hein ... vou fazer as alterações e daqui
a pouco posto completo, para vocês avaliarem.
Reply to: