[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [M] ódio ao NAT, yes F rwading de portas!!!

Gente,
Vou fazer o curso de firewall "Iptables" na http://www.clublinux.com.br/ (inclusei gostaria até que vocês fizessem algum tipo de comentário se a escola é boa)
Porém por enquanto não manjo nem 5% do iptables...apenas sei que tem 3 tabelas...que vc pode configurar DROP ACCEPT para determinada porta/serviço que vc queira...enfim o basicão porém preciso de um help urgente pois preciso configurar  a rede daqui da empresa com o proxy squid...
Como o squid só trabalha sobre FTP e HTTP....através dele não consigo liberar a saída e entrada dos pacotes do meu servidor de e-mail(pop3/smtp) via IPTABLES.
Tenho hoje em minha rede:

Distribuição do servidor: debian4
Ip Internet(eth0 - do servidor): 201.63.123.xxx
IP rede local(eth1 - do servidor): 192.168.0.1
Ip do POP3 do servidor de e-mail: 200.220.150.100 ( o servidor de e-mail é de um provedor e fica fora da empresa, não é controlado por mim)
IP do SMTP do servidor de e-mail: 200.220.150.100 ( o servidor de e-mail é de um provedor e fica fora da empresa, não é controlado por mim)

Será que alguém poderia me passar os comandos pra configurar isso que tô querendo..
A idéia é deixar tudo fechado e liberar somente os site que a diretoria me informar..
Preciso de algo pro usuário não conseguir navegar se retirar a configuração do proxy do navegador...

Obrigado a todos....(não me levem a mal não estou sendo folgado não....podem ver no
histórico da lista, já mandei e-mail de enchorrada pra ver se eu entendia....porém sem exito..

abraço a todos


Em 10/07/07, Junior Polegato - Linux <linux@juniorpolegato.com.br> escreveu:
Denis escreveu:
> Marcelo, visto a correção do Junior, a regra então deve ficar assim:
> #iptables -t nat -A POSTROUTING  -o eth1 -s redeinterna/mascara -p tcp
> -m multiport --dport 110,25 -j MASQUERADE

    Só mais um detalhe: para o pacote chegar ao NAT/POSTROUTING, ele
antes passa pelo FORWARD, então tem que permitir que eles passem pelo
FORWARD totalmente livre (política padrão ACCEPT) para ser filtrado no
NAT, ou o contrário, como tinha feito...
    Eu particularmente prefiro fazer filtro no FORWARD (que é da tabela
FILTER) do que no NAT/POSTROUTING, deixando as políticas padrão em DROP.
Creio que o problema inicial era que a política padrão do FILTER/FORWARD
estivesse em ACCEPT.
    Repare que colocando a política padrão do FILTER/FORWARD em DROP,
precisa liberar o retorno do pacotes para que estes cheguem ao
NAT/POSTROUTING e recebam o IP original e trafegue corretamente na rede.

--
Atenciosamente,

           Junior Polegato

           Um peregrino de problemas; Um pergaminho de soluções!
           Página Profissional: http://www.juniorpolegato.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org




--
|--------------------------------------------------|
|    Marcelo Manzano                    |
|    Cel.99603104                          |
|    manzano.marcelo@gmail.com  |
|--------------------------------------------------|

Em 10/07/07, Junior Polegato - Linux <linux@juniorpolegato.com.br> escreveu:
Denis escreveu:
> Marcelo, visto a correção do Junior, a regra então deve ficar assim:
> #iptables -t nat -A POSTROUTING  -o eth1 -s redeinterna/mascara -p tcp
> -m multiport --dport 110,25 -j MASQUERADE

    Só mais um detalhe: para o pacote chegar ao NAT/POSTROUTING, ele
antes passa pelo FORWARD, então tem que permitir que eles passem pelo
FORWARD totalmente livre (política padrão ACCEPT) para ser filtrado no
NAT, ou o contrário, como tinha feito...
    Eu particularmente prefiro fazer filtro no FORWARD (que é da tabela
FILTER) do que no NAT/POSTROUTING, deixando as políticas padrão em DROP.
Creio que o problema inicial era que a política padrão do FILTER/FORWARD
estivesse em ACCEPT.
    Repare que colocando a política padrão do FILTER/FORWARD em DROP,
precisa liberar o retorno do pacotes para que estes cheguem ao
NAT/POSTROUTING e recebam o IP original e trafegue corretamente na rede.

--
Atenciosamente,

           Junior Polegato

           Um peregrino de problemas; Um pergaminho de soluções!
           Página Profissional: http://www.juniorpolegato.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org




--
|--------------------------------------------------|
|    Marcelo Manzano                    |
|    Cel.99603104                          |
|    manzano.marcelo@gmail.com  |
|--------------------------------------------------|
Reply to: