Re: IPTABLES

To: dup <debian-user-portuguese@lists.debian.org>
Subject: Re: IPTABLES
From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
Date: Fri, 15 May 2009 08:07:49 -0300
Message-id: <[🔎] 4A0D4D05.8050402@fing.edu.uy>
In-reply-to: <[🔎] 4ebf98f0905141313t4dfa6977wff528b21f6a0a140@mail.gmail.com>
References: <[🔎] 4ebf98f0905140454m33efcf21ue77257b59d887b43@mail.gmail.com> <[🔎] 4A0C6309.8030408@fing.edu.uy> <[🔎] 4ebf98f0905141159p5bad8f01u718be2606572adb9@mail.gmail.com> <[🔎] 4A0C739E.3080701@juniorpolegato.com.br> <[🔎] 4ebf98f0905141313t4dfa6977wff528b21f6a0a140@mail.gmail.com>

Eduardo Lopes escreveu:
> 2009/5/14 Junior Polegato - Linux <linux@juniorpolegato.com.br>:
>> Eduardo Lopes escreveu:
>>> 2009/5/14 Miguel Da Silva - URI <mdasilva@fing.edu.uy>:
>>>
>>>> Eduardo Lopes escribió:
>>>>
>>>>> eth0 -> Rede Local
>>>>> eth1 -> Link1
>>>>> eth2 -> Link2
>>>>> eth3 -> Link3
>>>>>
>>>>> for links in `echo $LINK1 $LINK2`
>>>>>       do
>>>>>       $IPTABLES -t nat -A PREROUTING -p tcp -d $links --dport 8038 -j
>>>>> DNAT
>>>>> --to 172.16.1.14:80
>>>>>       done
>>>>>       $IPTABLES -t filter -A FORWARD -p tcp -d 172.16.1.14 --dport 80 -j
>>>>> ACCEPT
>>>>>       $IPTABLES -t mangle -A PREROUTING -s 172.16.1.14 -j MARK
>>>>> --set-mark
>>>>> 49
>>>>>       $IPTABLES -t nat -A POSTROUTING -s 172.16.1.14 -j SNAT --to
>>>>> $INET_LINK1
>>>>>       ip rule add fwmark 49 lookup 49 prio 49
>>>>>       ip route add default table 49 nexthop dev eth3 via $GW_LINK1
>>>>> weight
>>>>> 49
>>>>>
>>>>>
>>> O que não está
>>> funcionando é o seguinte, minha rede (172.16.1.0/24) não consegue
>>> acessar o meu ip externo, nem por browser, nem mesmo um telnet
>>> <ip-externo> 8038 funciona. Preciso que minha rede consiga acessar
>>> essa aplicação.
>>>
>> Olá,
>>
>>      A primeira regra PREROUTING está roteando os IP externos, porta 8038
>> para a porta 80 do IP 172.16.1.14, se for isso, está correto. Agora tente
>> acessar de dentro da rede 172.16.1.0/24 o IP 172.16.1.14, porta 80, se
>> conseguir, legal, é possível de um IP da rede local acessá-lo, implicando
>> numa barreira no firewall. Mas se não conseguir, deve haver alguma regra no
>> IP 172.16.1.14 bloqueando a rede local.
> 
> Opa,
> Acesso normalmente da minha rede local para o servidor.
> 
>>      Se for bloqueio no firewall, verifique a regra FORWARD, que pelo visto
>> está com política DROP, se está descartando pacotes enquanto tenta acessar
>> um IP externo, porta 8038, da rede interna com:
>>
>> watch -n 1 'iptables -L -v|sed -n /FORWARD/,/^$/p'
> 
> Então o problema é que a maquina que estou fazendo o teste está toda
> liberada no firewall. Eu acesso tudo por ela, menos o meu ip externo.
> 
>>      Também vale uma monitorada no firewall com wireshark para ver o que
>> chega e o que sai filtrando pelos IPs em teste.
> 
> Já tinha monitorado com o tcpdump mas não achei nada.
> 
>> []'s
>>          Junior Polegato
>>
>>
> 
> 

Falta uma regra para fazer NAT e dessa maneira, ter acesso à internet
desde as máquinas locais. Ou seja, um computador na rede 172.16.1.0/24
acessa um computador na internet atraves de NAT.

O acesso ao servidor, usando alguma máquina local, não será afetado
porque nem mesmo passará pelo firewall; a conexão vai ser direta entre
um cliente na rede 172.16.1.0/24 e o servidor 172.16.1.14.

Até.
-- 
Miguel Da Silva
Unidad de Recursos Informáticos
Facultad de Ingeniería - http://www.fing.edu.uy
Universidad de la República - http://www.rau.edu.uy

Reply to:

References:
- IPTABLES
  - From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
  - From: Miguel Da Silva - URI <mdasilva@fing.edu.uy>
- Re: IPTABLES
  - From: Eduardo Lopes <du.lopes@gmail.com>
- Re: IPTABLES
  - From: Junior Polegato - Linux <linux@juniorpolegato.com.br>
- Re: IPTABLES
  - From: Eduardo Lopes <du.lopes@gmail.com>

Prev by Date: Ajuda com DNS - Como limpar o cache
Next by Date: Re: Documentário sobre software Livre.
Previous by thread: Re: IPTABLES
Next by thread: Re: Postfix Integração com AD
Index(es):
- Date
- Thread