Complementando que esqueci. Sua segunda regra de forward não é necessária. E você não precisa especificar as interfaces de rede, porém é sempre bom especificar pra ficar mais amarrado.
Eden Caldas
Consultor de TI
eden@linuxfacil.srv.br
(81) 9747 4444
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI
Em 28 de abril de 2012 13:54, Eden Caldas <edencaldas@gmail.com> escreveu:
Moksha
A respeito dessa regra:Está quase certo.
iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT
Primeira, não deve ser usado aí o -s com o IP externo na sua regra de forward. O -s seria para tratar a origem do pacote e você está querendo que ele seja acessado por qualquer pessoa não é isso? Então basta omitir o -s ou colocar -s 0/0
Mais um exemplo disso que eu estou falando. Imagine que eu queira liberar o ssh numa máquina na minha rede apenas para uma certa filial da empresa cujo ip seja 200.200.200.200. Aí sim eu usaria o -s 200.200.200.200 na regra de foward. Se eu quiser que o acesso seja para qualquer IP, basta omitir.
Segundo, faltou completar o -m multiport. Precisa de --dports
Ficaria assim
iptables -A FORWARD -p tcp -d 172.100.100.100 -m multiport --dports 80,3306 -J ACCEPT
A propósito. Suas regras de DNAT estão corretas, porém lá também utilizam o módulo multiport porém com --dport, quando deveria ser --dports. É chatinho mesmo, mas só pra fixar:
-m multiport (singular)
--dports (plural)
Eden Caldas
Consultor de TI
eden@linuxfacil.srv.br
(81) 9747 4444
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI
Em 28 de abril de 2012 11:15, Moksha Tux <govatux@gmail.com> escreveu:Boa noite e muito obrigado a Eden caldas, Júlio Henrique e André Luiz!
Sim a política padrão que estou adotando é DROP neste caso serei obrigado a criar uma regra na chain FORWARD liberando este acesso, mas eu gostaria de amarrar as portas a este acesso esmo se eu mais a frente tenha que abrir o porta 80 para outras servidores, será que a regra abaixo estaria coreta?iptables -A FORWARD -p tcp -s 200.100.100.100 -d 172.100.100.100 -m multiport 80,3306 -J ACCEPT
# Para liberar o WWW da DMZ para a WAN
iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100
iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100
iptables -A FORWARD -p tcp -s 172.100.100.100 -d 0/0 -m multiport 80,3306 -J ACCEPT
E assim por diante, não sei se neste caso sou obrigado a identificar as interfaces nas regras de filtro, será que os senhores poderiam me informar se estaria certa essa minha especulação? Desde já obrigado,
MokshaEm 27 de abril de 2012 22:07, Eden Caldas <edencaldas@gmail.com> escreveu:
Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter.
Eden Caldas
Consultor de TI
eden@linuxfacil.srv.br
(81) 9747 4444
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI
Em 27 de abril de 2012 18:34, Moksha Tux <govatux@gmail.com> escreveu:Queridos amigos!
escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex:
# Para liberar o WWW da DMZ para a WAN
iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100
iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100
Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços,
Moksha