Re: Redirecionar apache
velkro wrote:
fernando,
antes que nada te comento que solamente puse esta unica regla en mi iptables
(como para simular lo que queres hacer) y funciono perfecto, asi que debe
haber algo en tus reglas vecinas.
# iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/16 -p tcp --dport 81 -j
REDIRECT --to-port 80
Hola, mira las redirecciones al squid andan perfectamente es por esto
que me llama la atención.
pregunto:
- si en vez de redireccionar al 8080 redireccionas al 3128 te funciona? como
para ver si la regla matchea bien con el host.
Como te decia la redireccion a squid funciona es cuando intento
redireccionar nuevamente el puerto 80 al momento de cuando entra desde
internet y no de la placa que escucha a la lan
- proba de dejar solamente la regla que no te funciona para ver si hace lo
que vos queres realmente.
Voy a probar esto.
- no tenes ningun servicio escuchando en el puerto 80? postea la salida de #
netstat -ln.
debian:~# netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:webcache *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 *:3128 *:* LISTEN
udp 0 0 *:2052 *:*
udp 0 0 *:icpv2 *:*
udp 0 0 *:bootps *:*
raw 0 0 *:icmp *:* 7
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
- estas seguro que tenes corriendo apache en el 8080?
Si, si ingreso la direcion de mi web seguida de :8080 anda perfecto.
Solo hay algo que no entiendo, le hago un nmap a la pc y me saca esto
debian:~# nmap 192.168.0.1
Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-02 17:30 ART
Interesting ports on zedrant-sarg.com.ar (192.168.0.1):
(The 1666 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3128/tcp open squid-http
8080/tcp open http-proxy
MAC Address: 00:06:4F:0C:1E:58 (Pro-nets Technology)
Nmap finished: 1 IP address (1 host up) scanned in 21.837 seconds
- queres postearnos tus reglas?
No queria postear mis reglas porque el firewall es un poco largo, pero
bueno sino jode mejor.
#!/bin/sh
#VARIABLE DEL FIREWALL
IPT="iptables"
LAN="eth1"
INET="ppp0"
IPLAN="192.168.0.0/24"
TECNICO="192.168.0.6"
#VARIABLES DE IP/MAC
IPCOCINA="192.168.0.3"
MACOCINA="00:0B:6A:D4:AC:AC"
IPNTB="192.168.0.2"
MACNTB="00:06:1B:C6:64:B9"
IPMAIOLO="192.168.0.4"
MACMAIOLO="00:11:D8:F9:74:4A"
IPJULI="192.168.0.5"
MACJULI="00:08:54:26:13:DB"
##### CONFIGURACIONES IPTABLES #####
#POLITICAS DE ACCESO
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD ACCEPT
#ACTIVAMOS EL RETORNO DE LOS PAQUETES, CON LO QUE SOLO ESPECIFICAREMOS
#UNA REGLA
$IPT -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#### NAT, ENRUTADO DE PAQUETES #####
#REDIRECCION A SQUID
$IPT -t nat -A PREROUTING -i $LAN -s $IPCOCINA -m mac --mac $MACOCINA -p
tcp --dport 80 -j
REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPNTB -m mac --mac $MACNTB -p tcp
--dport 80 -j REDIR
ECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPMAIOLO -m mac --mac $MACMAIOLO
-p tcp --dport 80 -j
REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPJULI -m mac --mac $MACJULI -p
tcp --dport 80 -j RED
IRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $TECNICO -p tcp --dport 80 -j
REDIRECT --to-port 3128
#REDIRECCION APACHE SERVER
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 80 -j REDIRECT
--to-port 8080
#REDIRECIONES A P2P
#COCINA
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 44011 -j DNAT --to
$IPCOCINA:44011
$IPT -t nat -A PREROUTING -i $INET -p udp --dport 44012 -j DNAT --to
$IPCOCINA:44012
#NOTEBOOK
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4443 -j DNAT --to
$IPNTB:4443
$IPT -t nat -A PREROUTING -i $INET -p udp --dport 4444 -j DNAT --to
$IPNTB:4444
#MAIOLO
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4466 -j DNAT --to
$IPMAIOLO:4466
$IPT -t nat -A PREROUTING -i $INET -p udp --dport 4477 -j DNAT --to
$IPMAIOLO:4477
#JULI
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4551 -j DNAT --to
$IPJULI:4551
$IPT -t nat -A PREROUTING -i $INET -p udp --dport 4552 -j DNAT --to
$IPJULI:4552
#TECNICO
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 5900 -j DNAT --to
$TECNICO:5900
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 5800 -j DNAT --to
$TECNICO:5800
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 44405 -j DNAT --to
$TECNICO:44405
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 55901 -j DNAT --to
$TECNICO:55901
#ACTIVAMOS NAT
$IPT -t nat -A POSTROUTING -s $IPLAN -j MASQUERADE
#### INPUT, ENTRADAS AL SERVER DESDE LA LAN ####
#LOOPBACK
$IPT -A INPUT -m state --state NEW -i lo -j ACCEPT
#ICMP
$IPT -A INPUT -m state --state NEW -p icmp -i $LAN -j ACCEPT
$IPT -A OUTPUT -m state --state NEW -p icmp -o $INET -j ACCEPT
#SSH
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPNTB -m mac --mac
$MACNTB --dport 22
-j ACCEPT
#SQUID
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPCOCINA -m mac
--mac $MACOCINA --dpo
rt 3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPNTB -m mac --mac
$MACNTB --dport 31
28 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPMAIOLO -m mac
--mac $MACMAIOLO --dp
ort 3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPJULI -m mac
--mac $MACJULI --dport
3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $TECNICO --dport
3128 -j ACCEPT
#APACHE
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPLAN --dport 8080
-j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $INET --dport 8080 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $INET --dport 80 -j ACCEPT
#HTTPS/HTTP
$IPT -A OUTPUT -m state --state NEW -p tcp -o $INET --dport 443 -j ACCEPT
$IPT -A OUTPUT -m state --state NEW -p tcp -o $INET --dport 80 -j ACCEPT
#DNS
$IPT -A OUTPUT -m state --state NEW -p udp -o $INET --dport 53 -j ACCEPT
##FORWARD##
#### FORWARD, LAN --> INTERNET ####
$IPT -A FORWARD -s $IPCOCINA -m mac --mac $MACOCINA -j ACCEPT
$IPT -A FORWARD -s $IPNTB -m mac --mac $MACNTB -j ACCEPT
$IPT -A FORWARD -s $IPMAIOLO -m mac --mac $MACMAIOLO -j ACCEPT
$IPT -A FORWARD -s $IPJULI -m mac --mac $MACJULI -j ACCEPT
$IPT -A FORWARD -s $TECNICO -j ACCEPT
#### MARCAS HTB PARA UPLOAD ####
$IPT -A FORWARD -t mangle -s $IPCOCINA -j MARK --set-mark 1
$IPT -A FORWARD -t mangle -s $IPNTB -j MARK --set-mark 3
$IPT -A FORWARD -t mangle -s $IPMAIOLO -j MARK --set-mark 2
$IPT -A FORWARD -t mangle -s $IPJULI -j MARK --set-mark 4
$IPT -A FORWARD -t mangle -s $TECNICO -j MARK --set-mark 5
#NO DEJAMOS ENTRAR MAS NADA
$IPT -A FORWARD -s $IPLAN -j REJECT
Reply to: