subject:"Duvida Iptables"

Duvida Iptables

2008-09-23 Por tôpico Paulo H.

E ai Pessoal,

Despois de pesquisar muito no santo google nao
consegui encontrar a solução. O problema é o seguinte. Estou
implementando um servidor Debian Etch + iptables 1.3.6 + squid 2.6.5 (
transparent ) e o problema esta sendo no uso do MSN ( os chefes tem que
usar ) o mesmo nao funciona de forma transparente. adicionei no proxy a
seguite linha:

http_port 3128 transparent

e o meu iptables esta da seguinte forma OBS: eth1 ligada rede interna, eth0 
ligada adsl( velox ):

#!/bin/bash
IPTABLES=/sbin/iptables
REDEINTERNA=10.0.0.0/8
MODPROBE=/sbin/modprobe
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -F
$IPTABLES -t nat -F 
$IPTABLES -t mangle -F

##
#
##  HABILITANDO MODULOS  ##
###
$MODPROBE ip_tables 
$MODPROBE iptable_filter
$MODPROBE iptable_mangle
$MODPROBE iptable_nat
$MODPROBE ipt_MASQUERADE
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp

###
## POLITICAS  ( ESTAO ASSIM SO PARA TESTES  
  ##
###
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

###
##
NATS  
 ##
###
# PROXY TRANSPARENTE
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 
3128

# REGRA DIRECIONAMENTO DEMAIS CONEXOES
$IPTABLES -t nat -A POSTROUTING -s $REDEINTERNA -o ppp0 -j MASQUERADE

O que pode estar acontecendo? Desde já agradeco a todos.


  Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua 
cara @ymail.com ou @rocketmail.com.
http://br.new.mail.yahoo.com/addresses

Re: duvida iptables

2007-08-03 Por tôpico Lucas Paz

Provelmente pq no seu script vc aceitra o trafego na porta 80 antes de
redirecionalo para a 3128 (squid) tenta ai e ve se da certo! passa ela antes

Em 03/08/07, Carlos Augusto Beltrame <[EMAIL PROTECTED]> escreveu:
>
> ola pessoal, estou com uma duvida, quero implantar aqui proxy
> transparente, usamos akela linha no iptables que redireciona td da porta 80
> para a porta 3128, porem travou o apache, mesmo separando as regras
> (conforme mostrado abaixo ainda trava e a proxy nao funciona e nem o apache,
> vejam e opinem:
> (situacao, servidor com duas placas de rede, uma rede interna eth1 e sai
> pela eth0)
>
> # Definindo a regra de policiamento como "Negar tudo"
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # Libera loopback e redireciona trafego
> iptables -A INPUT -i lo -j ACCEPT
> iptables -t nat -A POSTROUTING -m iprange --src-range
> 192.168.0.1-192.168.0.61 -o eth0 -j SNAT --to XXX.XXX.XXX.XXX
> iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
>
> # LINHA COM PROBLEMA !
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> iptables -t nat -A POSTROUTING -o lo -j ACCEPT
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j ACCEPT
> iptables -A FORWARD -d 200.yyy.yyy.yyy -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> iptables -A INPUT -p tcp --dport 25 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp --dport 1067 -j ACCEPT
> iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
> iptables -A INPUT -p tcp --dport 4081:4099 -j ACCEPT
> iptables -A INPUT -p tcp --dport 27000 -j ACCEPT
> iptables -A INPUT -p tcp --dport 1 -j ACCEPT
>
> iptables -A INPUT -p tcp --dport 3128 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p udp --dport 137 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p udp --dport 138 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p tcp --dport 139 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p tcp --dport 27000 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p tcp --dport 1067 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> #iptables -A INPUT -p tcp --dport 21 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j ACCEPT # SSH
> iptables -A INPUT -p tcp --dport 80 -m iprange --src-range
> 192.168.0.1-192.168.0.61 -j DROP
>
>
> este firewall esta confuso??? errado?? como eu queria q o trafego na porta
> 80 fosse totalmente blokeado, apenas passasse pela proxy, a porta 80 foi
> blokeada na rede interna e liberada para o resto. enfim, deem uma luz para
> implantar a proxy transparente.
>
> *=
>  .''`.   Yours Trully
> : :'  :  Carlos Beltrame
> `. `'`   Eletrical Engineer
>   `- IEEE #80472763
> Linux User #442225
> UNESP - Câmpus de Ilha Solteira
> http://www.ieee.org/unesp-ilha
> http://www.ldc.feis.unesp.br
> *=
>
>
>
> Flickr agora em português. Você cria, todo mundo vê. Saiba 
> mais.
>
>



-- 
Lucas Paz

duvida iptables

2007-08-03 Por tôpico Carlos Augusto Beltrame

ola pessoal, estou com uma duvida, quero implantar aqui proxy transparente, 
usamos akela linha no iptables que redireciona td da porta 80 para a porta 
3128, porem travou o apache, mesmo separando as regras (conforme mostrado 
abaixo ainda trava e a proxy nao funciona e nem o apache, vejam e opinem:
(situacao, servidor com duas placas de rede, uma rede interna eth1 e sai pela 
eth0)

# Definindo a regra de policiamento como "Negar tudo"
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Libera loopback e redireciona trafego
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.0.1-192.168.0.61 
-o eth0 -j SNAT --to XXX.XXX.XXX.XXX
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# LINHA COM PROBLEMA !
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 
3128 

iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 200.yyy.yyy.yyy -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 1067 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 4081:4099 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 1067 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 
192.168.0.1-192.168.0.61 -j DROP


este firewall esta confuso??? errado?? como eu queria q o trafego na porta 80 
fosse totalmente blokeado, apenas passasse pela proxy, a porta 80 foi blokeada 
na rede interna e liberada para o resto. enfim, deem uma luz para implantar a 
proxy transparente.

*=
 .''`.   Yours Trully
: :'  :  Carlos Beltrame
`. `'`   Eletrical Engineer
  `- IEEE #80472763
Linux User #442225
UNESP - Câmpus de Ilha Solteira
http://www.ieee.org/unesp-ilha
http://www.ldc.feis.unesp.br
*=





  Alertas do Yahoo! Mail em seu celular. Saiba mais em 
http://br.mobile.yahoo.com/mailalertas/

Re: Duvida IpTables

2006-01-12 Por tôpico Maxwillian Miorim

Só para complementar o que o Guillermo disse, uma regra de firewall de
redirecionamento **somente** será válida se o pacote **atravessar** o
firewall.

Em uma rede local, os pacotes raramente são roteados, as máquinas são
ligadas em um switch (hub não tem condições né gente...=P), bem como o
servidor. Assim não passam pelo firewall **antes** de chegaram no
servidor de destino local.

off: po, um argentino escreve em português melhor que eu! xD


--
Maxwillian Miorim - LPIC1 (LPID 85928)
[EMAIL PROTECTED]

Kit Total-Nerd-Tabajara: Slackware 10.2 e OpenBSD 3.8

Re: Duvida IpTables

2006-01-11 Por tôpico Guillermo Pereyra Irujo


Pruonckk le Punk wrote:

iptables -t nat -A PREROUTING -i eth0 -d 10.1.1.1 -p tcp --dport 80 -j
DNAT --to-destination 10.1.1.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.1.1.2 -p tcp --sport 80 -j
SNAT --to-source 10.1.1.1

nesse caso, tudo que chegar para 10.1.1.1 na porta 80 ele joga para
10.1.1.2
depois, oque sair de 10.1.1.2 da porta 80 ele troca o source para
10.1.1.1


Sei que não é o mesmo nem o que você perguntou, mas nessa situação pode 
lhe ser útil também. Se o servidor 10.1.1.2 está na mesma rede física 
que o velho 10.1.1.1, simplesmente pode adicionar ese endereço á mesma 
placa de rede. No host 10.1.1.2, faça:


ifconfig eth0:1 10.1.1.1 netmask 255.255.255.0 up

Com isso, o host agora escuta nos dois endereços, como se fosse os dois 
hosts originais. Assim não depende de outra máquina para receber o 
tráfico correto.


--
Guillermo Pereyra Irujo
Tandil, Argentina


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Duvida IpTables

2006-01-11 Por tôpico Pruonckk le Punk

iptables -t nat -A PREROUTING -i eth0 -d 10.1.1.1 -p tcp --dport 80 -j
DNAT --to-destination 10.1.1.2
iptables -t nat -A POSTROUTING -o eth0 -s 10.1.1.2 -p tcp --sport 80 -j
SNAT --to-source 10.1.1.1

nesse caso, tudo que chegar para 10.1.1.1 na porta 80 ele joga para
10.1.1.2
depois, oque sair de 10.1.1.2 da porta 80 ele troca o source para
10.1.1.1


Em Qua, 2006-01-11 às 08:32 -0200, Daniel Benvenutti Schaab escreveu:
> Alguem sabe se posso fazer o iptables redirecionar um IP? Tenho um 
> servidor que foi desligado, e quero criar uma regra nos meus firewalls 
> para alterar o direcionamento de um IP para outro, seria mais ou menos 
> assim: alguem tentaria conectar no IP 10.1.1.1 e o meu firewall mandaria 
> para o novo ip 10.1.1.2
> Tem como?
> 
> obrigado
> 
> -- 
> Daniel Benvenutti Schaab
> Tecnologia da Informação
> Fone: 3584-5537
> 
> 
-- 
Pruonckk le Punk

http://www.debianfordummies.org
Porque o linux é para todos!


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Duvida IpTables

2006-01-11 Por tôpico Daniel Benvenutti Schaab

Alguem sabe se posso fazer o iptables redirecionar um IP? Tenho um 
servidor que foi desligado, e quero criar uma regra nos meus firewalls 
para alterar o direcionamento de um IP para outro, seria mais ou menos 
assim: alguem tentaria conectar no IP 10.1.1.1 e o meu firewall mandaria 
para o novo ip 10.1.1.2

Tem como?

obrigado

--
Daniel Benvenutti Schaab
Tecnologia da Informação
Fone: 3584-5537


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

pequena duvida, iptables

2004-08-20 Por tôpico Daniel

Pessoal, por favor, quem puder me esclareça uma coisa.

Tenho um servidor apache com proftpd e nat funcionando em uma máquina e
aconteceu o seguinte.

liberei as seguintes portas no INPUT e OUTPUT.

iptables -A INPUT -p tcp -m multiport -i eth0 --dport
20,21,22,53,80,110,443 -j ACCEPT
iptables -A INPUT -p udp -m multiport -i eth0 --dport
20,21,22,53,80,110,443 -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -j DROP

iptables -A OUTPUT -p tcp -m multiport -o eth0 --dport
20,21,22,53,80,110,443 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport -o eth0 --dport
20,21,22,53,80,110,443 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth0 -j DROP

e aqui dentro da rede, tudo funcionava numa boa, acessamos internet e
talz... mas pra quem tentava acessar de fora, nem o FTP  e nem a página
funcionavam, até que eu liberei todas as portas acima da 1024 para o OUTPUT.

iptables -A OUTPUT -p tcp -o eth0 --dport 1024: -j ACCEPT

perguntas:

1) por que tenho que liberar essas portas?
2) tem algum problema?
3) tem como definir um range de portas para deixar aberto ao invés de
liberar todas acima da 1024? e isso vale a pena?

Obrigado

daniel

Duvida Iptables

Re: duvida iptables

duvida iptables

Re: Duvida IpTables

Re: Duvida IpTables

Re: Duvida IpTables

Duvida IpTables

pequena duvida, iptables

8 matches

Site Navigation

Mail list logo

Footer information