Regra IPTables Para Mascaramento
Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Aqui vai um cabeçalho: Delivered-To: fagner.patri...@gmail.com Received: by 10.114.38.135 with SMTP id g7csp28062ldk; Tue, 23 Jul 2013 07:21:20 -0700 (PDT) X-Received: by 10.236.121.175 with SMTP id r35mr15105054yhh.50.1374589279379; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Return-Path: supo...@cnpg.org.br Received: from webmail.cnpg.org.br ([200.199.79.66]) by mx.google.com with ESMTP id f27si3423371yhl.134.2013.07.23.07.21.18 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Received-SPF: fail (google.com: domain of supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) client-ip=200.199.79.66; Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) smtp.mail=supo...@cnpg.org.br Received: from localhost (localhost [127.0.0.1]) by webmail.cnpg.org.br (Postfix) with ESMTP id 6CC682EE186 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) X-Virus-Scanned: amavisd-new at cnpg.org.br Received: from webmail.cnpg.org.br ([127.0.0.1]) by localhost (webmail.cnpg.org.br [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 8BAdIm0tHaiF for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) Received: from webmail.cnpg.org.br (webmail.cnpg.org.br [200.199.79.91]) by webmail.cnpg.org.br (Postfix) with ESMTP id 0F9162EE181 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) Date: Tue, 23 Jul 2013 11:21:15 -0300 (BRT) From: supo...@cnpg.org.br To: fagner.patri...@gmail.com Message-ID: 1026454534.101.1374589275917.javamail.r...@cnpg.org.br Subject: teste MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 7bit X-Originating-IP: [10.128.4.2] X-Mailer: Zimbra 7.2.1_GA_2790 (ZimbraWebClient - FF3.0 (Linux)/7.2.1_GA_2790) ok Em 23 de julho de 2013 11:11, Fagner Patricio fagner.patri...@gmail.comescreveu: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Em 23-07-2013 11:23, Fagner Patricio escreveu: Aqui vai um cabeçalho: [...] Received: fromwebmail.cnpg.org.br http://webmail.cnpg.org.br ([200.199.79.66]) bymx.google.com http://mx.google.com with ESMTP id f27si3423371yhl.134.2013.07.23.07.21.18 forfagner.patri...@gmail.com mailto:fagner.patri...@gmail.com; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Received-SPF: fail (google.com http://google.com: domain ofsupo...@cnpg.org.br mailto:supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) client-ip=200.199.79.66; Authentication-Results:mx.google.com http://mx.google.com; spf=hardfail (google.com http://google.com: domain ofsupo...@cnpg.org.br mailto:supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) smtp.mail=supo...@cnpg.org.br mailto:supo...@cnpg.org.br Olá! Quem está fazendo o mascaramento é o firewall que está no IP 200.199.79.66. Neste, você deve colocar uma regra para aceitar o pacote sem modificações vindo do seu IP acima de todas as outras do POSTROUTING: iptables -t nat -I POSTROUTING -o ethX -s 200.199.79.91 -j ACCEPT []'s Junior Polegato
Re: Regra IPTables Para Mascaramento
Fagner, Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs, apenas coloque ele sem máscara. Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra nos IPs dentro dela. Apenas coloque o IP e veja. Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:45, Fagner Patricio fagner.patri...@gmail.com wrote: hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs: -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele executa todas as 3 regras, como eu faço para esse cenário da certo? Em 23 de julho de 2013 11:38, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Certeza que não têm um MASQUERADE geral antes? Colocou essa regra como primeira? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:11, Fagner Patricio fagner.patri...@gmail.com wrote: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Em 23 de julho de 2013 12:54, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Fagner, Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs, apenas coloque ele sem máscara. Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra nos IPs dentro dela. Apenas coloque o IP e veja. Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:45, Fagner Patricio fagner.patri...@gmail.com wrote: hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs: -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele executa todas as 3 regras, como eu faço para esse cenário da certo? Em 23 de julho de 2013 11:38, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Certeza que não têm um MASQUERADE geral antes? Colocou essa regra como primeira? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:11, Fagner Patricio fagner.patri...@gmail.com wrote: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil imagine este cenario: internet eth1---firewall eth0 rede local | | DMZ eth2 ser email 172.16.0.2 # aqui vc redireciona tudo que entra do 200.199.79.91 para seu email iptables -t nat -A PREROUTING -d 200.199.79.91 -j SNAT --to 172.16.0.2 # aqui a regra de postrouting forçando seu email para sair com o ip que o mundo conheçe.. iptables -t nat -A POSTROUTING -s 172.16.0.2 -j SNAT --to 200.199.79.91 # aqui a regra para o resto iptables -t nat -A POSTROUTING -s rede local -j SNAT --to 200.199.79.66 OBS MASQUERADE é usado para ips dinamicos. pode ser usado para ip fixos mas não é aconselhavel []s Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br