Bloqueio de portas iptables

danielfventuri
(usa Mandriva)

Enviado em 15/04/2009 - 16:51h

Bom dia pessoal, preciso de ajuda

o meu problema é o seguinte preciso redirecionar o trafego de uma porta 10000 para a porta 20000, bloquear o trafego que venha diretamente para a porta 10000 e ainda testar o funcionamento disso localhost(loopback).
por exemplo

o que vem para a porta 10000 direcionar para a porta 20000 e aceitar
o que vem para a porta 20000 diretamente descartar.

o direcionamento está funcionando corretamente com a seguinte regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to-destination :20000

o bloqueio do trafego direto para a porta 20000 e a liberação do trafego que vem da 10000 para a 20000 não consigo fazer, sendo que já tentei o seguinte conjunto de regras:
iptables -A INPUT -j REJECT -p tcp --dport 20000
iptables -A FORWARD -j ACCEPT -p tcp --dport 20000

quanto ao funcionamento do direcionamento em loopback (localhost), tentei a regra abaixo e também não deu certo:
iptables -t nat -A POSTROUTING -o eth0 -p tcp -j MASQUERADE

então eu tenho 3 problemas na minha solução

1 - redirecionamento de portas (RESOLVIDO)
2 - bloqueio ao acesso direto a porta, e liberação do acesso direcionado - (NÃO RESOLVIDO)
3 - funcionamento loopback (localhost) - (NÃO RESOLVIDO)

Obrigado pela ajuda

maninhx
(usa Slackware)

Enviado em 15/04/2009 - 17:20h

tentou inverter as regras
iptables -A INPUT -j REJECT -p tcp --dport 20000
iptables -A FORWARD -j ACCEPT -p tcp --dport 20000

assim
iptables -A FORWARD -j ACCEPT -p tcp --dport 20000
iptables -A INPUT -j REJECT -p tcp --dport 20000

danielfventuri
(usa Mandriva)

Enviado em 15/04/2009 - 17:24h

será que funciona?

para ver se funciona eu precisaria testa loopback (localhost) pois não tenho outra maquina disponivel agora. e isso eu tambem não consigo

maninhx
(usa Slackware)

Enviado em 16/04/2009 - 08:59h

nao tenho certeza. mas pode funcionar.

grodriguesq
(usa Slackware)

Enviado em 16/04/2009 - 13:01h

Bom isso aqui eu uso no meu firewall e funciona sem problemas, claro que onde tem variável vc vai substituir pela sua respectivamente, se ficar com dúvida é só perg.

# VNC-1
#(Entrada)
$ipt -t nat -A PREROUTING -i $wan -p tcp --syn --dport 5900 -j LOG --log-level info --log-prefix '[DNAT ENTRA VNC] '
$ipt -t nat -A PREROUTING -i $wan -p tcp --dport 5974 -j DNAT --to-destination $servidor_vnc1:5900
$ipt -A FORWARD -i $wan -o $lan -p tcp --syn --dport 5900 -j LOG --log-level info --log-prefix '[PERMITE VNC] '
$ipt -A FORWARD -i $wan -o $lan -p tcp --dport 5974 -j ACCEPT

#(Saida)
$ipt -A FORWARD -s $servidor_vnc1 -p tcp --syn --sport 5974 -i $lan -o $wan -j LOG --log-level info --log-prefix '[DNAT SAIDA VNC] '
$ipt -A FORWARD -s $servidor_vnc1 -p tcp --sport 5974 -i $lan -o $wan -j ACCEPT