[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re[2]: iptables



Ola Rafael!

Estou usando VirtualBox versão 4.0.4r70112


Maquina virtual com Linux Squeeze ( que seria meu servidor )
Primeira adaptador está como bridge na eth0.
Configurado assim:
allow-hotplug eth0
iface eth0 inet dhcp

Segundo adapatador está como rede interna.
configurado assim:
auto eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

Só tenho bind instalado neste servidor.
Para ativar o compartilhamento de internet "rodo" script abaixo.

------------- X ---------------
Maquina virtual Windows Xp ( que seria meus "usuarios" )
Adaptador rede interna.
configurei com ip 192.168.1.10
mascara 255.255.255.0
Gateway 192.168.1.254
DNS 192.168.1.254


Andei fazendo uns testes com as seguintes conclusões:
Antes de rodar o script não funciona internet no cliente ( windows XP )

Para mim testar conexão antes do script e depois do script
estava testando somente com o comando ping www.terra.com.br

Testei com o browse e o resultado foi o esperado...
ou seja apos o script com parametro start o browse funcionou.

apos o script com o parametro stop o Browse não funcionou.


porém o ping apos o script uma com start, funciona sempre independente 
do parametro start ou stop.

Não sei o porque.


--
Diác. Moretti
twitter:@cjmoretti
 
                                           \///
                                           (o  o)
______________oo0 - () - 0oo_______________
Na  certeza  de  nossa  imortalidade, seguimos 
nosso caminho fazendo o bem, desejando bem 
e sendo a paixão única de nosso Deus.
_______________________________________

Em 25/04/2011 às 00:00, Rafael Henrique da Silva Correia
<rafaelhenriqu@gmail.com> escreveu:
>Ops esqueci de perguntar uma coisa que me deixou curioso Diác. Moretti 
>que ambiente virtual você ta usando? E como estão configuradas as 
>interfaces das máquinas virtuais (host-only, NAT, Rede Interna ou Bridge 
>- me baseando nas confs do VirtualBox e VMWare Server) ??
>
>Abraço
>
>Em 21-04-2011 23:05, Rafael Henrique da Silva Correia escreveu:
>> Pessoal não sei se estou errado mas normalmente quando você tira a 
>> regra de MASQUERADE da jogada o "firewall"/"roteador" não libera a 
>> internet nem a pau. Experiência própria pois uma vez fiz um script pra 
>> por em produção e por erro de digitação ao invés de digitar MASQUERADE 
>> coloquei ACCEPT! (idiota eu não?)
>>
>> Será que você não ta rodando outra coisa além desse script que deixa o 
>> MASQUERADE da chain POSTROUTING da tabela NAT ativo?
>>
>> Tenta arrancar a regra que da um "jump" para o alvo MASQUERADE e tenta 
>> entrar na internet através da máquina "client".
>>
>> Abraço!
>>
>> Em 20-04-2011 17:37, Eden Caldas escreveu:
>>> Seguinte...
>>>
>>> No seu script tem algumas regras de INPUT, e uma de NAT, porém quando
>>> você lista as regras nao aparece nada.
>>>
>>> Sugiro que você mude o script para uma forma mais simples, sem case.
>>> Sugiro também que troque:
>>>
>>>    echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
>>>
>>> por
>>>
>>>    echo 1>  /proc/sys/net/ipv4/ip_forward
>>>
>>> Execute o script e depois novamente os comandos que te passei.
>>>
>>> Eden Caldas
>>> Consultor de TI
>>> eden@linuxfacil.srv.br
>>> (81) 9653 7220
>>> LINUX FÁCIL – Consultoria e Serviços em TI
>>>
>>>
>>>
>>> Em 20 de abril de 2011 10:29, Messias Manoel da Silva Junior
>>> <juniormj1@globo.com>  escreveu:
>>>> Cara, desabilita teu roteamento.
>>>>
>>>> echo 1>  /proc/sys/net/ipv4/ip_forward
>>>>
>>>> Em 20 de abril de 2011 07:45, Diác. Moretti<mtt@mitranh.org.br>  
>>>> escreveu:
>>>>> Ola,
>>>>>
>>>>> A resposta para o comando iptables -L -n -v   é:
>>>>>
>>>>> Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>> Chain FORWARD (policy ACCEPT 254 packets, 15240 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>>
>>>>>
>>>>> A resposta para o comando iptables -t nat -L -n -v  é:
>>>>>
>>>>> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>>   pkts bytes target     prot opt in     out     source
>>>>> destination
>>>>>
>>>>>
>>>>>
>>>>> A resposta para o comando sysctl -a | grep ip_forward é:
>>>>>
>>>>> net.ipv4.ip_forward = 1
>>>>>
>>>>>
>>>>
>>>> echo 0>  /proc/sys/net/ipv4/ip_forward
>>>>
>>>>
>>>>> O meu script para o compartilhamento é:
>>>>>
>>>>> #!/bin/bash
>>>>>
>>>>> # ... Interface da internet
>>>>> ifinternet="eth0"
>>>>>
>>>>> # ... Interface da rede local
>>>>> iflocal="eth1"
>>>>>
>>>>> iniciar(){
>>>>>    modprobe iptable_nat
>>>>>    echo 1>  /proc/sys/net/ipv4/ip_forward
>>>>>    iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
>>>>> #   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
>>>>>    echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
>>>>>    iptables -A INPUT -m state --state INVALID -j DROP
>>>>>    iptables -A INPUT -i lo -j ACCEPT
>>>>>    iptables -A INPUT -i $iflocal -j ACCEPT
>>>>>    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>>>>>    iptables -A INPUT -p tcp --syn -j DROP
>>>>> }
>>>>>
>>>>> parar(){
>>>>>    iptables -F
>>>>>    iptables -F -t nat
>>>>> }
>>>>>
>>>>> case "$1" in
>>>>> "start") iniciar;;
>>>>> "stop") parar;;
>>>>> "restart") parar; iniciar;;
>>>>> *) echo "Use os parametros start ou stop"
>>>>> esac
>>>>>
>>>>>
>>>>> Fico no agardo de sugestões.
>>>>> abraço
>>>>>
>>>>> Moretti
>>>>>
>>>>> Em 20/04/2011 às 00:00, Eden Caldas<edencaldas@gmail.com>  escreveu:
>>>>>> Depois de executar esses dois comandos. Manda pra gente a saida dos
>>>>>> seguintes comandos.
>>>>>>
>>>>>> iptables -L -n -v
>>>>>> iptables -t nat -L -n -v
>>>>>> sysctl -a | grep ip_forward
>>>>>>
>>>>>> Eden Caldas
>>>>>> Consultor de TI
>>>>>> eden@linuxfacil.srv.br
>>>>>> (81) 9653 7220
>>>>>> LINUX FÁCIL – Consultoria e Serviços em TI
>>>>>>
>>>>>>
>>>>>> Em 19 de abril de 2011 14:31, Diác. Moretti<mtt@mitranh.org.br>  
>>>>>> escreveu:
>>>>>>> Estou aprendendo sobre o iptables.
>>>>>>>
>>>>>>> Tenho a seguinte ambiente:
>>>>>>> duas maquinas virtuais.
>>>>>>> Maquina A) com Debian Squeeze servidora de internet
>>>>>>> Maquina B) com Windows XP
>>>>>>>
>>>>>>> Gostaria que todo acesso a internet da maquina B passa-se pela 
>>>>>>> maquina A)
>>>>>>> Estou usando o iptables e o compartilhamento da internet está 
>>>>>>> funcionando.
>>>>>>>
>>>>>>> Minha duvida é quando eu não quero mais compartilhar
>>>>>>> ou seja quero bloquear a internet, no iptables estou usando
>>>>>>> iptables -F
>>>>>>> iptables -F -t nat
>>>>>>>
>>>>>>> Porém após esses comandos a maquina B ainda continuar a ter acesso a
>>>>> internet
>>>>>>> como faço para "corta" esse acesso??
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Diác. Moretti
>>>>>>> twitter:@cjmoretti
>>>>>>>
>>>>>>>                                             \///
>>>>>>>                                             (o  o)
>>>>>>> ______________oo0 - () - 0oo_______________
>>>>>>> Na  certeza  de  nossa  imortalidade, seguimos
>>>>>>> nosso caminho fazendo o bem, desejando bem
>>>>>>> e sendo a paixão única de nosso Deus.
>>>>>>> _______________________________________
>>>>>> WebRep
>>>>>> Overall rating
>>>>>>
>>>>>> WebRep
>>>>>> Overall rating
>>>>>>
>>>>>>
>>>>>> -- 
>>>>>> To UNSUBSCRIBE, email to 
>>>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>>>> with a subject of "unsubscribe". Trouble? Contact 
>>>>>> listmaster@lists.debian.org
>>>>>> Archive:
>>>>>
[🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com 
>>>>>
>>>>>
>>>>>
>>>>> -- 
>>>>> To UNSUBSCRIBE, email to 
>>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>>> with a subject of "unsubscribe". Trouble? Contact 
>>>>> listmaster@lists.debian.org
>>>>> Archive: [🔎] 562005506591267389@mitranh.org.br">http://lists.debian.org/[🔎] 562005506591267389@mitranh.org.br
>>>>>
>>>>>
>>>>
>>>>
>>>> -- 
>>>> __________________________
>>>> Messias Manoel da Silva Junior
>>>> Paulo Afonso-BA
>>>> Técnico de Suporte
>>>> Linux User: #491808
>>>> Linux  LPIC1 - Linux Pronfessional Institute Certification
>>>> Novell DCTE - Data Center Technical Specialist
>>>> Novell CLA   - Novell Certified Linux Administrator
>>>>
>>>> --------------------------------------------------
>>>>
>>>>    .~.                                        .''`.
>>>>   / v \       Use GNU/Linux!        : :`  :
>>>>   /( )\                                       `. `'`
>>>>   ^^-^^                                        `-
>>>>
>>>> "Para as lagartixas só posso dizer, treine muito e vire um calango, e
>>>> continue admirando os crocodilos"
>>>>
>>>>
>>>> -- 
>>>> To UNSUBSCRIBE, email to 
>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>> with a subject of "unsubscribe". Trouble? Contact 
>>>> listmaster@lists.debian.org
>>>> Archive: 
>>>>
[🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com 
>>>>
>>>>
>>>>
>>>
>>
>>
>
>
>-- 
>Rafael Henrique da Silva Correia
>http://abraseucodigo.blogspot.com
>
>Administrador de Sistemas Linux
>Certificado pela LPIC - 101
>ID: LPI000160699
>
>
>-- 
>To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>Archive: [🔎] 4DB0E3B3.6010703@gmail.com">http://lists.debian.org/[🔎] 4DB0E3B3.6010703@gmail.com
>



Reply to: