Re[2]: iptables
Ola Rafael!
Estou usando VirtualBox versão 4.0.4r70112
Maquina virtual com Linux Squeeze ( que seria meu servidor )
Primeira adaptador está como bridge na eth0.
Configurado assim:
allow-hotplug eth0
iface eth0 inet dhcp
Segundo adapatador está como rede interna.
configurado assim:
auto eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
Só tenho bind instalado neste servidor.
Para ativar o compartilhamento de internet "rodo" script abaixo.
------------- X ---------------
Maquina virtual Windows Xp ( que seria meus "usuarios" )
Adaptador rede interna.
configurei com ip 192.168.1.10
mascara 255.255.255.0
Gateway 192.168.1.254
DNS 192.168.1.254
Andei fazendo uns testes com as seguintes conclusões:
Antes de rodar o script não funciona internet no cliente ( windows XP )
Para mim testar conexão antes do script e depois do script
estava testando somente com o comando ping www.terra.com.br
Testei com o browse e o resultado foi o esperado...
ou seja apos o script com parametro start o browse funcionou.
apos o script com o parametro stop o Browse não funcionou.
porém o ping apos o script uma com start, funciona sempre independente
do parametro start ou stop.
Não sei o porque.
--
Diác. Moretti
twitter:@cjmoretti
\///
(o o)
______________oo0 - () - 0oo_______________
Na certeza de nossa imortalidade, seguimos
nosso caminho fazendo o bem, desejando bem
e sendo a paixão única de nosso Deus.
_______________________________________
Em 25/04/2011 às 00:00, Rafael Henrique da Silva Correia
<rafaelhenriqu@gmail.com> escreveu:
>Ops esqueci de perguntar uma coisa que me deixou curioso Diác. Moretti
>que ambiente virtual você ta usando? E como estão configuradas as
>interfaces das máquinas virtuais (host-only, NAT, Rede Interna ou Bridge
>- me baseando nas confs do VirtualBox e VMWare Server) ??
>
>Abraço
>
>Em 21-04-2011 23:05, Rafael Henrique da Silva Correia escreveu:
>> Pessoal não sei se estou errado mas normalmente quando você tira a
>> regra de MASQUERADE da jogada o "firewall"/"roteador" não libera a
>> internet nem a pau. Experiência própria pois uma vez fiz um script pra
>> por em produção e por erro de digitação ao invés de digitar MASQUERADE
>> coloquei ACCEPT! (idiota eu não?)
>>
>> Será que você não ta rodando outra coisa além desse script que deixa o
>> MASQUERADE da chain POSTROUTING da tabela NAT ativo?
>>
>> Tenta arrancar a regra que da um "jump" para o alvo MASQUERADE e tenta
>> entrar na internet através da máquina "client".
>>
>> Abraço!
>>
>> Em 20-04-2011 17:37, Eden Caldas escreveu:
>>> Seguinte...
>>>
>>> No seu script tem algumas regras de INPUT, e uma de NAT, porém quando
>>> você lista as regras nao aparece nada.
>>>
>>> Sugiro que você mude o script para uma forma mais simples, sem case.
>>> Sugiro também que troque:
>>>
>>> echo 1> /proc/sys/net/ipv4/conf/default/rp_filter
>>>
>>> por
>>>
>>> echo 1> /proc/sys/net/ipv4/ip_forward
>>>
>>> Execute o script e depois novamente os comandos que te passei.
>>>
>>> Eden Caldas
>>> Consultor de TI
>>> eden@linuxfacil.srv.br
>>> (81) 9653 7220
>>> LINUX FÁCIL – Consultoria e Serviços em TI
>>>
>>>
>>>
>>> Em 20 de abril de 2011 10:29, Messias Manoel da Silva Junior
>>> <juniormj1@globo.com> escreveu:
>>>> Cara, desabilita teu roteamento.
>>>>
>>>> echo 1> /proc/sys/net/ipv4/ip_forward
>>>>
>>>> Em 20 de abril de 2011 07:45, Diác. Moretti<mtt@mitranh.org.br>
>>>> escreveu:
>>>>> Ola,
>>>>>
>>>>> A resposta para o comando iptables -L -n -v é:
>>>>>
>>>>> Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>> Chain FORWARD (policy ACCEPT 254 packets, 15240 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>>
>>>>>
>>>>> A resposta para o comando iptables -t nat -L -n -v é:
>>>>>
>>>>> Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>> Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>> Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
>>>>> pkts bytes target prot opt in out source
>>>>> destination
>>>>>
>>>>>
>>>>>
>>>>> A resposta para o comando sysctl -a | grep ip_forward é:
>>>>>
>>>>> net.ipv4.ip_forward = 1
>>>>>
>>>>>
>>>>
>>>> echo 0> /proc/sys/net/ipv4/ip_forward
>>>>
>>>>
>>>>> O meu script para o compartilhamento é:
>>>>>
>>>>> #!/bin/bash
>>>>>
>>>>> # ... Interface da internet
>>>>> ifinternet="eth0"
>>>>>
>>>>> # ... Interface da rede local
>>>>> iflocal="eth1"
>>>>>
>>>>> iniciar(){
>>>>> modprobe iptable_nat
>>>>> echo 1> /proc/sys/net/ipv4/ip_forward
>>>>> iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
>>>>> # iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
>>>>> echo 1> /proc/sys/net/ipv4/conf/default/rp_filter
>>>>> iptables -A INPUT -m state --state INVALID -j DROP
>>>>> iptables -A INPUT -i lo -j ACCEPT
>>>>> iptables -A INPUT -i $iflocal -j ACCEPT
>>>>> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>>>>> iptables -A INPUT -p tcp --syn -j DROP
>>>>> }
>>>>>
>>>>> parar(){
>>>>> iptables -F
>>>>> iptables -F -t nat
>>>>> }
>>>>>
>>>>> case "$1" in
>>>>> "start") iniciar;;
>>>>> "stop") parar;;
>>>>> "restart") parar; iniciar;;
>>>>> *) echo "Use os parametros start ou stop"
>>>>> esac
>>>>>
>>>>>
>>>>> Fico no agardo de sugestões.
>>>>> abraço
>>>>>
>>>>> Moretti
>>>>>
>>>>> Em 20/04/2011 às 00:00, Eden Caldas<edencaldas@gmail.com> escreveu:
>>>>>> Depois de executar esses dois comandos. Manda pra gente a saida dos
>>>>>> seguintes comandos.
>>>>>>
>>>>>> iptables -L -n -v
>>>>>> iptables -t nat -L -n -v
>>>>>> sysctl -a | grep ip_forward
>>>>>>
>>>>>> Eden Caldas
>>>>>> Consultor de TI
>>>>>> eden@linuxfacil.srv.br
>>>>>> (81) 9653 7220
>>>>>> LINUX FÁCIL – Consultoria e Serviços em TI
>>>>>>
>>>>>>
>>>>>> Em 19 de abril de 2011 14:31, Diác. Moretti<mtt@mitranh.org.br>
>>>>>> escreveu:
>>>>>>> Estou aprendendo sobre o iptables.
>>>>>>>
>>>>>>> Tenho a seguinte ambiente:
>>>>>>> duas maquinas virtuais.
>>>>>>> Maquina A) com Debian Squeeze servidora de internet
>>>>>>> Maquina B) com Windows XP
>>>>>>>
>>>>>>> Gostaria que todo acesso a internet da maquina B passa-se pela
>>>>>>> maquina A)
>>>>>>> Estou usando o iptables e o compartilhamento da internet está
>>>>>>> funcionando.
>>>>>>>
>>>>>>> Minha duvida é quando eu não quero mais compartilhar
>>>>>>> ou seja quero bloquear a internet, no iptables estou usando
>>>>>>> iptables -F
>>>>>>> iptables -F -t nat
>>>>>>>
>>>>>>> Porém após esses comandos a maquina B ainda continuar a ter acesso a
>>>>> internet
>>>>>>> como faço para "corta" esse acesso??
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Diác. Moretti
>>>>>>> twitter:@cjmoretti
>>>>>>>
>>>>>>> \///
>>>>>>> (o o)
>>>>>>> ______________oo0 - () - 0oo_______________
>>>>>>> Na certeza de nossa imortalidade, seguimos
>>>>>>> nosso caminho fazendo o bem, desejando bem
>>>>>>> e sendo a paixão única de nosso Deus.
>>>>>>> _______________________________________
>>>>>> WebRep
>>>>>> Overall rating
>>>>>>
>>>>>> WebRep
>>>>>> Overall rating
>>>>>>
>>>>>>
>>>>>> --
>>>>>> To UNSUBSCRIBE, email to
>>>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>>>> with a subject of "unsubscribe". Trouble? Contact
>>>>>> listmaster@lists.debian.org
>>>>>> Archive:
>>>>>
[🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> To UNSUBSCRIBE, email to
>>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>>> with a subject of "unsubscribe". Trouble? Contact
>>>>> listmaster@lists.debian.org
>>>>> Archive: [🔎] 562005506591267389@mitranh.org.br">http://lists.debian.org/[🔎] 562005506591267389@mitranh.org.br
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> __________________________
>>>> Messias Manoel da Silva Junior
>>>> Paulo Afonso-BA
>>>> Técnico de Suporte
>>>> Linux User: #491808
>>>> Linux LPIC1 - Linux Pronfessional Institute Certification
>>>> Novell DCTE - Data Center Technical Specialist
>>>> Novell CLA - Novell Certified Linux Administrator
>>>>
>>>> --------------------------------------------------
>>>>
>>>> .~. .''`.
>>>> / v \ Use GNU/Linux! : :` :
>>>> /( )\ `. `'`
>>>> ^^-^^ `-
>>>>
>>>> "Para as lagartixas só posso dizer, treine muito e vire um calango, e
>>>> continue admirando os crocodilos"
>>>>
>>>>
>>>> --
>>>> To UNSUBSCRIBE, email to
>>>> debian-user-portuguese-REQUEST@lists.debian.org
>>>> with a subject of "unsubscribe". Trouble? Contact
>>>> listmaster@lists.debian.org
>>>> Archive:
>>>>
[🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com
>>>>
>>>>
>>>>
>>>
>>
>>
>
>
>--
>Rafael Henrique da Silva Correia
>http://abraseucodigo.blogspot.com
>
>Administrador de Sistemas Linux
>Certificado pela LPIC - 101
>ID: LPI000160699
>
>
>--
>To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>Archive: [🔎] 4DB0E3B3.6010703@gmail.com">http://lists.debian.org/[🔎] 4DB0E3B3.6010703@gmail.com
>
Reply to:
- Follow-Ups:
- Re: iptables
- From: Rafael Henrique da Silva Correia <rafaelhenriqu@gmail.com>