Pular para o conteúdo

Firewall iptables com NAT

Este artigo traz e explica um exemplo de script de firewall com NAT totalmente funcional.
Cristyan Giovane de Souza Santos cristyangiovane

Por Cristyan Giovane de Souza Santos em 27/02/2007

Hits: 97.292 Categoria: Linux Subcategoria: Firewall
  • Indicar
  • Impressora
  • Denunciar

Introdução

Neste artigo colocarei um script de firewall com regras de NAT. O script foi testado em Linux Centos 4.3.

Primeiramente criaremos em um diretório de sua preferência, no meu caso /usr/local/bin/firewall, com os seguintes arquivos:
  • EXT-INT.sh
  • INT-EXT.sh
  • INPUT.sh
  • FORWARD.sh
  • OUTPUT.sh
  • NAT-IN.sh
  • FIREWALL.sh

# mkdir /usr/local/bin/firewall
# cd /usr/local/bin/firewall
# touch EXT-INT.sh INT-EXT.sh INPUT.sh FORWARD.sh OUTPUT.sh NAT-IN.sh FIREWALL.sh

Devemos dar permissão nos arquivos executando o seguinte comando:

# chmod 755 *.sh

Páginas do artigo

   1. Introdução
   2. EXT-INT.sh, INT-EXT.sh E INPUT.sh
   3. FORWARD.sh, OUTPUT.sh e NAT-IN.sh
   4. FIREWALL.sh

Outros artigos deste autor

Squid autenticando em Windows 2003 com msnt_auth

Montando regras iptables

Leitura recomendada

Iptables detalhado

Arno Iptables Firewall (poderoso e simples)

Gerenciando regras de Iptables com Firewall Builder (parte 2)

Estrutura do IPTables 2: a tabela nat

Como construir um firewall de baixo custo para sua empresa (parte 3)

Comentários

#1 Comentário enviado por tenchi em 27/02/2007 - 23:42h
Opa, boa dica.
Sei que não é o lugar apropriado, mas gostaria de saber sse alguém aí saberia resolver o meu problema:
Possuo um computador que está atrás de um roteador. E eu preciso mesmo acessar esse computador, mas o roteador "não deixa".
É assim:
O meu modem 'e um siemens 4200, e está roteado, como disse.
Acontece que eu preciso acessar a máquina sob o roteador (na verdade é só uma porta dela). Essa porta é a do ssh.
Normalme nte o ssh usa a 22, mas eu o configurei pra usar uma bem alta (9999), por causa dessa frescura da BrasilTelecom.
Bem, esse não é o problema.
É assim: O modem não atribui IPs por dhcp ,pois eu configurei um IP fixo pra minha máquina. Isso pra usar redirecionamento de portas. Mas mesmo redirecionando, não deu em nada (depois eu comento o problema).
Então eu pesquisei um pouco sobre esse negócio de nat, e pensei eu usar isso pra fazer com que o meu pc ficasse visível na rede externa, mas não conseguir configurar esse nat para o meu modem.
O que eu quero é o seguinte: Alguém aí sabe se existe uma solução para este problema? pode ser usando NAT, redirecionamento de portas, atualizar o firmware desse modem, sei lá.
Como foi possível verificar, eu sou um completo leigo nesse assunto de redes, então espero que compreendam meus prováveis erros conceituais.

Falow.
#2 Comentário enviado por prgs.linux em 29/08/2007 - 12:52h
cara moldei seu firewall para minha realidade... aki uso conexao ppp0...minha dulvida e a seguinte
consigo liberar vnc para entar na maquina que ta habilatda o servico e onde eu redirecionei,

meu probl e que eu consigo entrar pela porta 5900 de fora pra dentro......mais se eu quizer sair o firewall nao deixa.........sair pela mesma maquina que ta habilitada o servico e que tem as regras apontada pra ela


se puder ajudar agradeco
#3 Comentário enviado por cristyangiovane em 03/09/2007 - 13:26h
Libera o ip da maquina que vai sair na porta 5900 dentro do arquivo INT-EXT.sh
A regra fika assim
iptables -A INT2EXT -p tcp -s <ip que sai no vnc> --dport 5900 -j ACEPT

Ou se quiser liberar todas as maquina para sair no vnc

iptables -A INT2EXT -p tcp --dport 5900 -j ACCEPT
#4 Comentário enviado por calaff2 em 06/03/2009 - 21:48h
Velho otimo Firewall! Gostei fica melhor para vc encontrar uma regra. abraços.
#5 Comentário enviado por ederflopes em 27/05/2009 - 16:20h
Amigo onde insiro a regra e qual é a regra para eu redicionar as conexões pro meu proxy?

sei q tem tb uma linha q adiciono que "obrigo" a todos da rede acessarem a internet pelo proxy ... se não por proxy não funciona, vc sabe quias são essas linhas?

Grato

Eder Lopes
#6 Comentário enviado por cristyangiovane em 27/05/2009 - 16:33h
Coloca no arquivo Firewall.sh

Após a regra
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

adiciona a regra.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
(Caso sua rede interna não esteja em eth1, altere para a correta)
#7 Comentário enviado por ederflopes em 27/05/2009 - 16:37h
Obrigado pela resposta...
e com isso já torna Obrigatório a saida somente pelo proxy?

não permitindo o cara tirar o proxy do navegador e ainda ter acesso a internet?
#8 Comentário enviado por cristyangiovane em 27/05/2009 - 18:48h
Com essa regra tudo que chegar na porta 80 sera direcionado para o proxy.
#9 Comentário enviado por erikogp em 01/04/2011 - 07:38h
Como faço para criar um redirecionamento para terminal server de qualquer lugar da internet através deste script?
Dentro do arquivo NAT-IN.sh adicionei a seguinte linha:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.147.12:3389

Só que não está funcionando. Internamente funciona, mas de fora pra dentro não funciona.
#10 Comentário enviado por mwiezbicki em 16/07/2012 - 17:00h
Opa
Blz parceiro, me fale uma coisa como posso fazer que o so acesse pela porta 3128, sendo que o meu squid esta em outra maquina no ip 192.168.1.10 e o ip do firewall eh 192.168.1.1
Obrigado

Contribuir com comentário

Entre na sua conta para comentar.