Re: Dúvidas sobre Iptables
Olá Pessoal!...bom dia e Feliz Natal!!! Bom...minha interface externa (WAN) é minha eth1. Ele tem IP dinâmico, mas tenho este servidor linux cadastrado no serviço DynDns.org onde qualquer alteração do IP válido ele altera o IP para meu nome de host. Bijani, Thiago escreveu: Olá Flávio, Primeiramente Feliz Natal. 1) O que é sua interface eth1 ? (deverá ser sua interface wan) 2) "Escutar" não é o verbo ideal Encaminhar é melhor. 3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como preferir) em http://www.netfilter.org/documentation/HOWTO/ (para entender a ordem de processamento das chains) Qualquer duvida, só falar. Abrs., Thiago Bijani Mobile: +55 21 7898-9032 Direct Connect: 55*82*44254 2009/12/24 Flavio LopesOlá lista! Atualmente tenho estas regras funcionando perfeitamente para liberar o acesso via Terminal Service para um servidor com Windows 2003 Server: $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389 Mas se eu substituir a segunda linha por: $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389 eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais fazer a conexão!!! Qual a diferença entre estas duas linhas?...no caso da segunda, não era só pra especificar qual interface ("-i eth1") eu quero que fique "escutando" ??? Em resumo, se eu substituir: $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389 por: $iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $win2003:3389 pára de funcionar o acesso! Alguém sabe me dizer porque acontece isso? grato, Flávio -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Dúvidas sobre Iptables
Só mais um detalhe, acho que isso aqui tá errado: $win2003:3389 Acho que tem que ser assim: ${win2003}:3389 Sei lá... * * 2009/12/24 Bijani, Thiago > Olá Flávio, > > Primeiramente Feliz Natal. > > 1) O que é sua interface eth1 ? (deverá ser sua interface wan) > 2) "Escutar" não é o verbo ideal Encaminhar é melhor. > 3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como preferir) > em http://www.netfilter.org/documentation/HOWTO/ (para entender a ordem de > processamento das chains) > > Qualquer duvida, só falar. > > Abrs., > > Thiago Bijani > Mobile: +55 21 7898-9032 > Direct Connect: 55*82*44254 > > > 2009/12/24 Flavio Lopes > >> Olá lista! >> >> >> Atualmente tenho estas regras funcionando perfeitamente para liberar o >> acesso via Terminal Service para um servidor com Windows 2003 Server: >> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> >> Mas se eu substituir a segunda linha por: >> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível >> mais fazer a conexão!!! >> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só >> pra especificar qual interface (*"-i eth1"*) eu quero que fique >> "escutando" ??? >> >> Em resumo, se eu *substituir*: >> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> *por*: >> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> *pára* de funcionar o acesso! >> >> Alguém sabe me dizer porque acontece isso? >> >> grato, >> Flávio >> > >
Re: Dúvidas sobre Iptables
Olá Flávio, Primeiramente Feliz Natal. 1) O que é sua interface eth1 ? (deverá ser sua interface wan) 2) "Escutar" não é o verbo ideal Encaminhar é melhor. 3) De uma olhada no netfilter-hacking-HOWTO (txt ou html, como preferir) em http://www.netfilter.org/documentation/HOWTO/ (para entender a ordem de processamento das chains) Qualquer duvida, só falar. Abrs., Thiago Bijani Mobile: +55 21 7898-9032 Direct Connect: 55*82*44254 2009/12/24 Flavio Lopes > Olá lista! > > Atualmente tenho estas regras funcionando perfeitamente para liberar o > acesso via Terminal Service para um servidor com Windows 2003 Server: > *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination > $win2003:3389 > * > > Mas se eu substituir a segunda linha por: > *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT > --to-destination $win2003:3389* > > eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais > fazer a conexão!!! > Qual a diferença entre estas duas linhas?...no caso da segunda, não era só > pra especificar qual interface (*"-i eth1"*) eu quero que fique > "escutando" ??? > > Em resumo, se eu *substituir*: > $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination > $win2003:3389 > * > *por*: > *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT > --to-destination $win2003:3389* > > *pára* de funcionar o acesso! > > Alguém sabe me dizer porque acontece isso? > > grato, > Flávio >
Re: Dúvidas sobre Iptables
Flavio, A rede externa esta na eth1 ? E se estiver com ip externo fixo, faz um teste tirando o -i eth1 e colodo -s 0/0 -d 200.200.200.200 (onde seria o ip válido). Uma outra coisa você esta limpando a regra anterior ? Senão use o -I no lugar do -A. Alex Paulo Laner aka rootsh 2009/12/24 Flavio Lopes > Olá Alex, obrigado pela ajuda. > Então carapor exemplo agora estou testando isso de fora da rede (onde > está o Server 2003)!...e como lhe disse, se usar a regra onde menciono a > "eth1" eu não consigo entrar! > > Em 24-12-2009 15:14, Alex Paulo Laner escreveu: > > Flavio, > > É o seguinte se a eth1 for seu link externo você tem que testar > externamente, pois a regra anterior independete de onde vier a conexão para > porta 3389 ele vai enviar para o $win2003. > Então se o cenário for esse teste externamente e use o tcpdump para > entender onde os pacotes estão indo. > > Alex Paulo Laner aka rootsh > > 2009/12/24 Flavio Lopes > >> Olá lista! >> >> Atualmente tenho estas regras funcionando perfeitamente para liberar o >> acesso via Terminal Service para um servidor com Windows 2003 Server: >> *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> >> Mas se eu substituir a segunda linha por: >> *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível >> mais fazer a conexão!!! >> Qual a diferença entre estas duas linhas?...no caso da segunda, não era só >> pra especificar qual interface (*"-i eth1"*) eu quero que fique >> "escutando" ??? >> >> Em resumo, se eu *substituir*: >> $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389 >> * >> *por*: >> *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT >> $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT >> --to-destination $win2003:3389* >> >> *pára* de funcionar o acesso! >> >> Alguém sabe me dizer porque acontece isso? >> >> grato, >> Flávio >> > > >
Re: Dúvidas sobre Iptables
Flavio, É o seguinte se a eth1 for seu link externo você tem que testar externamente, pois a regra anterior independete de onde vier a conexão para porta 3389 ele vai enviar para o $win2003. Então se o cenário for esse teste externamente e use o tcpdump para entender onde os pacotes estão indo. Alex Paulo Laner aka rootsh 2009/12/24 Flavio Lopes > Olá lista! > > Atualmente tenho estas regras funcionando perfeitamente para liberar o > acesso via Terminal Service para um servidor com Windows 2003 Server: > *$iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination > $win2003:3389 > * > > Mas se eu substituir a segunda linha por: > *$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT > --to-destination $win2003:3389* > > eu não consigo mais acessar o Win-Server-2003, ou seja, não é possível mais > fazer a conexão!!! > Qual a diferença entre estas duas linhas?...no caso da segunda, não era só > pra especificar qual interface (*"-i eth1"*) eu quero que fique > "escutando" ??? > > Em resumo, se eu *substituir*: > $*iptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination > $win2003:3389 > * > *por*: > *$*i*ptables -A FORWARD -p tcp -d $win2003 --dport 3389 -j ACCEPT > $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT > --to-destination $win2003:3389* > > *pára* de funcionar o acesso! > > Alguém sabe me dizer porque acontece isso? > > grato, > Flávio >