Re: emule / iptables / nat / lin ux roteador.. o que está errado?
---------- Início da mensagem original -----------
De: "Josemar Vieira" josemar@gmail.com
Para: "nuser" fakeact@bol.com.br
Cc:
Data: Tue, 8 May 2007 07:53:14 -0300
Assunto: Re: emule / iptables / nat / lin ux roteador.. o que está errado?
> Opa bom dia,
>
> Este micro tem proxy ?
> Se a resposta for sim, Ele está como transparent ?
> Se a resposta for não,
Não, ele está direto na internet, e os outros micros da rede não usam proxy, apenas proxy de dns, que fica no pc com as regras abaixo, que é o roteador.
>
> Entendo pouco de iptables mas,pelo que li tendo vc as linhas
>
> iptables -P INPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -P OUTPUT ACCEPT
>
> vc só precisaria da regra de MASCARAMENTO pra ter acesso a internet se
> restriçoes
> necessitando apenas de outras regras em casos especificos como por exemplo
> que a internet acesse algum computador interno de sua rede.
>
> ou seja
>
> iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j
> MASQUERADE
>
> o roteamento do linux está ativo ?
>
> o resultado do comando
> cat /proc/sys/net/ipv4/ip_forward é 1 ?
>
está sim, mesmo nos reboots, tudo configurado pro ip forwarding
um dump das regras do iptables:
------------
root@here:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:41001 state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:41002 state NEW,RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:41004 state NEW,RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@here:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:41001 to:10.1.1.4:41001
DNAT udp -- anywhere anywhere udp dpt:41002 to:10.1.1.4:41002
DNAT udp -- anywhere anywhere udp dpt:41004 to:10.1.1.4:41004
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.1.1.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@here:~#
------------ e abaixo as regras:
> >
> > estou usando o linux, kernel 2.6, debian, como roteador. há 1 cliente
> > winxp que necessita usar emule, web, msn, skype, e por aí vai.
> > eth0: internet, ip é dado pelo modem, é um ip da internet de fato (200.x)
> > eth1: segunda placa, que é o gateway dos micros com windows.
> >
> > como está o firewall:
> >
> > iptables -F
> > iptables -X
> > iptables -t nat -F
> > iptables -t nat -X
> > iptables -P INPUT ACCEPT
> > iptables -P FORWARD ACCEPT
> > iptables -P OUTPUT ACCEPT
> >
> > iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j
> > MASQUERADE
> > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> > # Portas como estão configuradas no emule do cliente 10.1.1.4
> > iptables -A INPUT -i eth0 -p TCP --dport 41001 -m state --state NEW -j
> > ACCEPT
> > iptables -A INPUT -i eth0 -p UDP --dport 41002 -m state --state NEW -j
> > ACCEPT
> >
> > iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> >
> > # agora redireciona aquelas acima
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41001 -j DNAT --to
> > 10.1.1.4:41001
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 41002 -j DNAT --to
> > 10.1.1.4:41002
> >
> > lá no cliente windows o teste funciona:
> >
> > http://www.amule.org/testport.php "Success"
> >
> > conecta com high id, *mas parece nao fazer nenhum download*, nenhum
> > upload. configuracoes do emule nao foram alteradas, a nao ser portas, e
> > limites de dl/up coerentes, firewall do windows desativado, nenhum antivirus
> > bloqueando nada. botamos alguns arquivos com alta disponibilidade, mas nao
> > esta copiando nada.
> >
> > tentei o mesmo setup retirando a seguinte regra:
> >
> > iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> >
> > li e reli os conceitos de cada target, mas nao entendo pq nao funciona
> >
> > usando o ethereal vi varios pacotes udp saindo de 10.1.1.4 para diversos
> > ips, julgo serem outros clientes da rede ed2k.
> >
> > alguem tem uma ideia?
> >
> > obrigado!
> >
> >
> Josemar Vieira
>
Reply to: