Liberar acesso externo [RESOLVIDO]

cassianoag
(usa CentOS)

Enviado em 21/10/2009 - 19:32h

Pessoal até agora não conseguir liberar o acesso externo das portas 2222 e 8080. A conexão da internet é através do Velox. O servidor possui duas placas uma interface eth2 que recebe o sinal da velox e a eth1 que distribui a internet para a rede interna.

As seguintes regras utilizo no iptables:

touch /var/lock/subsys/local
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.1
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth2 -j MASQUERADE

O amigo Renato postou para mim a seguinte regra:
iptables -A INPUT -i eth1 -p tcp --dport 2222 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 2222 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 8080 -j ACCEPT

só que não obtive êxito. Já tentei utilizando um FORWARD, mas não estou sabendo fazer esta regra, pois realizando algumas pesquisas comentaram que esta seria a solução.

Peço a ajuda de vocês, pois está complicado por aqui.

Agradeço pela enorme atenção.

Obrigado.

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 20:01h

Se o modem está roteado, vc precisa configurar o redirecionamento nele também

Há vários tutorias de como fazer isso no site abaixo:

www.portforward.com

bom outro detalhe é se o seu modem estiver em bridge (discado)

a interface seria ppp0 e não eth2

por fim sempre é bom adicionar a regra abaixo:

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

cassianoag
(usa CentOS)

Enviado em 21/10/2009 - 20:04h

O modem está roteado ele é da marca SpeedTouch. Este é o problema estou com as duas placas na mesma máquina, mas não consigo liberar as portas.

Agora mesmo que eu esteja fazendo o acesso interno já não implica que o modem já esteja fazendo o redirecionamento?

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 20:19h

Mas vc fez o redirecionamento das portas no modem ?

http://www.portforward.com/english/routers/port_forwarding/Thomson-Alcatel/Speedtouch510v6/SSH.htm

Não adianta nada fazer no computador se vc não fez a do modem ....

cassianoag
(usa CentOS)

Enviado em 21/10/2009 - 20:25h

Agora mesmo eu tendo acesso na rede local?. pois já estou acessando as duas portas 2222 e 8080.

Vou fazer o que você me informou e vê se resolvo o problema.

Outra coisa, as regras que tem no iptables irão funcionar logo que eu fizer estes redirecionamento no modem?

cassianoag
(usa CentOS)

Enviado em 21/10/2009 - 21:53h

Gesousa,

Já fiz o redirecionamento no modem só que ainda não estou acessando. Será que as regras estão corretas no iptables?

Obrigado pela sua atenção.

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 22:12h

Pergunta meio estupida mas vc mudou as portas padroes do apache e ssh tb ???

se não vc deve especificar a porta para qual o acesso esta sendo redirecionado ....


iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.0.1:22

iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:80


p.s: precebi tb que vc estabeleceu no redirecionamento a interface de entrada como se fosse a eth1 da rede interna mas a que vc vai redirecinar é a eth2 da internet ...

cassianoag
(usa CentOS)

Enviado em 21/10/2009 - 22:54h

Gesouza,

Muito obrigado pela sua ajuda, eu que fiz errado no momento da criação das portas no redirecionamento no modem. A propósito deixei apenas estas regras:
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.1
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth2 -j MASQUERADE

e esta funcionando bem. Você acha melhor fazer alguma alteração?

Muito obrigado!

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 23:01h

ta legal... só toma cuidado com a politica do forward como accept eu prefiro liberar somente o que preciso e deixar todas as politicas como drop , mas ai já e questão de gosto.