[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Redirecionar apache

velkro wrote:


fernando,
antes que nada te comento que solamente puse esta unica regla en mi iptables (como para simular lo que queres hacer) y funciono perfecto, asi que debe haber algo en tus reglas vecinas. # iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/16 -p tcp --dport 81 -j REDIRECT --to-port 80
Hola, mira las redirecciones al squid andan perfectamente es por esto que me llama la atención. 


pregunto:
- si en vez de redireccionar al 8080 redireccionas al 3128 te funciona? como para ver si la regla matchea bien con el host.
Como te decia la redireccion a squid funciona es cuando intento redireccionar nuevamente el puerto 80 al momento de cuando entra desde internet y no de la placa que escucha a la lan
- proba de dejar solamente la regla que no te funciona para ver si hace lo que vos queres realmente. 
Voy a probar esto.
- no tenes ningun servicio escuchando en el puerto 80? postea la salida de # netstat -ln. 
debian:~# netstat -l
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:webcache              *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:3128                  *:*                     LISTEN
udp        0      0 *:2052                  *:*
udp        0      0 *:icpv2                 *:*
udp        0      0 *:bootps                *:*
raw        0      0 *:icmp                  *:*                     7
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path


- estas seguro que tenes corriendo apache en el 8080?
Si, si ingreso la direcion de mi web seguida de :8080 anda perfecto. Solo hay algo que no entiendo, le hago un nmap a la pc y me saca esto 

debian:~# nmap 192.168.0.1

Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-02-02 17:30 ART
Interesting ports on zedrant-sarg.com.ar (192.168.0.1):
(The 1666 ports scanned but not shown below are in state: filtered)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3128/tcp open  squid-http
8080/tcp open  http-proxy
MAC Address: 00:06:4F:0C:1E:58 (Pro-nets Technology)

Nmap finished: 1 IP address (1 host up) scanned in 21.837 seconds


- queres postearnos tus reglas?
No queria postear mis reglas porque el firewall es un poco largo, pero bueno sino jode mejor. 

#!/bin/sh

#VARIABLE DEL FIREWALL
IPT="iptables"
LAN="eth1"
INET="ppp0"
IPLAN="192.168.0.0/24"
TECNICO="192.168.0.6"

#VARIABLES DE IP/MAC
IPCOCINA="192.168.0.3"
MACOCINA="00:0B:6A:D4:AC:AC"

IPNTB="192.168.0.2"
MACNTB="00:06:1B:C6:64:B9"

IPMAIOLO="192.168.0.4"
MACMAIOLO="00:11:D8:F9:74:4A"

IPJULI="192.168.0.5"
MACJULI="00:08:54:26:13:DB"

##### CONFIGURACIONES IPTABLES #####

#POLITICAS DE ACCESO
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD ACCEPT
#ACTIVAMOS EL RETORNO DE LOS PAQUETES, CON LO QUE SOLO ESPECIFICAREMOS #UNA REGLA 
$IPT -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#### NAT, ENRUTADO DE PAQUETES  #####

#REDIRECCION A SQUID
$IPT -t nat -A PREROUTING -i $LAN -s $IPCOCINA -m mac --mac $MACOCINA -p tcp --dport 80 -j 
REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPNTB -m mac --mac $MACNTB -p tcp --dport 80 -j REDIR 
ECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPMAIOLO -m mac --mac $MACMAIOLO -p tcp --dport 80 -j 
REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $IPJULI -m mac --mac $MACJULI -p tcp --dport 80 -j RED 
IRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $LAN -s $TECNICO -p tcp --dport 80 -j REDIRECT --to-port 3128 

#REDIRECCION APACHE SERVER
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 80 -j REDIRECT --to-port 8080 

#REDIRECIONES A P2P
#COCINA
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 44011 -j DNAT --to $IPCOCINA:44011 $IPT -t nat -A PREROUTING -i $INET -p udp --dport 44012 -j DNAT --to $IPCOCINA:44012 
#NOTEBOOK
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4443 -j DNAT --to $IPNTB:4443 $IPT -t nat -A PREROUTING -i $INET -p udp --dport 4444 -j DNAT --to $IPNTB:4444 
#MAIOLO
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4466 -j DNAT --to $IPMAIOLO:4466 $IPT -t nat -A PREROUTING -i $INET -p udp --dport 4477 -j DNAT --to $IPMAIOLO:4477 
#JULI
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 4551 -j DNAT --to $IPJULI:4551 $IPT -t nat -A PREROUTING -i $INET -p udp --dport 4552 -j DNAT --to $IPJULI:4552 
#TECNICO
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 5900 -j DNAT --to $TECNICO:5900 $IPT -t nat -A PREROUTING -i $INET -p tcp --dport 5800 -j DNAT --to $TECNICO:5800 $IPT -t nat -A PREROUTING -i $INET -p tcp --dport 44405 -j DNAT --to $TECNICO:44405 $IPT -t nat -A PREROUTING -i $INET -p tcp --dport 55901 -j DNAT --to $TECNICO:55901 

#ACTIVAMOS NAT
$IPT -t nat -A POSTROUTING -s $IPLAN -j MASQUERADE

#### INPUT, ENTRADAS AL SERVER DESDE LA LAN ####

#LOOPBACK
$IPT -A INPUT -m state --state NEW -i lo -j ACCEPT
#ICMP
$IPT -A INPUT -m state --state NEW -p icmp -i $LAN -j ACCEPT
$IPT -A OUTPUT -m state --state NEW -p icmp -o $INET -j ACCEPT
#SSH
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPNTB -m mac --mac $MACNTB --dport 22 
-j ACCEPT
#SQUID
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPCOCINA -m mac --mac $MACOCINA --dpo 
rt 3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPNTB -m mac --mac $MACNTB --dport 31 
28 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPMAIOLO -m mac --mac $MACMAIOLO --dp 
ort 3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPJULI -m mac --mac $MACJULI --dport 
3128 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $TECNICO --dport 3128 -j ACCEPT 
#APACHE
$IPT -A INPUT -m state --state NEW -p tcp -i $LAN -s $IPLAN --dport 8080 -j ACCEPT 
$IPT -A INPUT -m state --state NEW -p tcp -i $INET --dport 8080 -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -i $INET --dport 80 -j ACCEPT

#HTTPS/HTTP
$IPT -A OUTPUT -m state --state NEW -p tcp -o $INET  --dport 443 -j ACCEPT
$IPT -A OUTPUT -m state --state NEW -p tcp -o $INET --dport 80 -j ACCEPT
#DNS
$IPT -A OUTPUT -m state --state NEW -p udp -o $INET --dport 53 -j ACCEPT

##FORWARD##
#### FORWARD, LAN --> INTERNET ####
$IPT -A FORWARD -s $IPCOCINA -m mac --mac $MACOCINA -j ACCEPT
$IPT -A FORWARD -s $IPNTB -m mac --mac $MACNTB -j ACCEPT
$IPT -A FORWARD -s $IPMAIOLO -m mac --mac $MACMAIOLO -j ACCEPT
$IPT -A FORWARD -s $IPJULI -m mac --mac $MACJULI -j ACCEPT
$IPT -A FORWARD -s $TECNICO -j ACCEPT
#### MARCAS HTB PARA UPLOAD ####
$IPT -A FORWARD -t mangle -s $IPCOCINA -j MARK --set-mark 1
$IPT -A FORWARD -t mangle -s $IPNTB -j MARK --set-mark 3
$IPT -A FORWARD -t mangle -s $IPMAIOLO -j MARK --set-mark 2
$IPT -A FORWARD -t mangle -s $IPJULI -j MARK --set-mark 4
$IPT -A FORWARD -t mangle -s $TECNICO -j MARK --set-mark 5
#NO DEJAMOS ENTRAR MAS NADA
$IPT -A FORWARD -s $IPLAN -j REJECT
Reply to: