apontar para outra porta

simberg
(usa Debian)

Enviado em 12/12/2013 - 11:01h

como faço no iptables para redirecionar a comunicação http (443 ) para uma determinada interface por exemplo eth2?

meanroc1
(usa BackTrack)

Enviado em 12/12/2013 - 13:02h

Velho, eu ainda nao estudei IPTABLES, mas tenho um material interessante,http://pt.slideshare.net/marcelobarrosalmeida/tutorial-sobre-iptables, ve se acha.

simberg
(usa Debian)

Enviado em 12/12/2013 - 15:08h

Li a apostila ela é legal, mas não resolveu meu problema. Mesmo assim obrigado pelo material.

Buckminster
(usa Debian)

Enviado em 12/12/2013 - 18:08h

Tenta assim:
iptables -A FORWARD -p tcp --dport 443 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT << em eth1 você coloca a eth que está na regra MASQUERADE, em eth2 você coloca a eth para a qual você quer redirecionar a porta 443.

Coloque essas duas regras logo após a regra de MASQUERADE.
Elas vão fazer com que tudo que vier pela eth1 na porta 443 saia para a tua rede interna pela eth2 (se a eth2 for a porta da tua rede interna).
Mas veja bem, se você tiver redirecionamento para o Squid nas tuas regras, deve colocar essas regras após a regra do redirecionamento para o Squid.
Aconselho, se você tiver redirecionamento para o Squid, colocar o redirecionamento para o Squid antes da regra de MASQUERADE e as regras acima logo depois da regra de MASQUERADE, ficando assim a sequência:
REGRA DE REDIRECIONAMENTO PARA O SQUID
REGRA DE MASQUERADE
REGRAS ACIMA

Contudo, se a tua eth na regra de redirecionamento para o Squid for a mesma eth2, por exemplo, você deverá fazer um RETURN.
Não sei se é isso que você quer.
Caso tenha dúvidas, posta aqui teu script do Iptables.

Segue link para o Manuel do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

simberg
(usa Debian)

Enviado em 13/12/2013 - 10:46h

Buckminster obrigado pela força, mas ainda não deu certo.

No eth0 tenho a rede Wlan, no eth1 tenho rede interna e no eth2 tenho o ip virtual, que estou usando como rede interna para dois servidores.

Ou seja, os dois servidores tem números ip´s diferentes para eth0 e eth1, mas compartilham o mesmo ip no eth2, sem conflito e problema, gerenciado pelo corosync e ldirectord.


Nas máquinas tenho o squid3 instalado. Se indico a interface eth1 (alterando o redirecionamento de porta para o squid para eth1), como gateway nas estações tudo funciona direito, tanto http como https.

Agora se indico a eth2 (ip virtual) funciona apenas para http, barrando todo tráfego de https.



Configuração iptables:

-----------

#!/bin/bash


start(){


modprobe ip_nat_ftp
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_conntrack

#Removendo regras
iptables -F
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

WAN="eth0"

#Liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 10.10.10.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 10.10.10.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 10.10.10.0/24 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 10.10.11.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 10.10.11.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 10.10.11.0/24 -j ACCEPT

#Liberando acesso dos nodes

iptables -A INPUT -p udp -m state --state NEW -s 10.10.10.14 -m multiport --dports 5405,5405 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -s 10.10.10.14 -m multiport --dports 5405,5405 -j ACCEPT


#Redirecionando a porta 80 para 3128 do Squid

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Teste
iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

#Redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward



#Liberando portas
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2022 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 137 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 138 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 7070 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1755 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 554 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1935 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 11111 -j ACCEPT

#Permitindo que os pacotes passem pelo Firewall
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


#iptables -t filter -A FORWARD -j REJECT

}

case "$1" in

"start") start ;;
*)

echo
echo "use start"

;;
esac
------------------

Buckminster
(usa Debian)

Enviado em 13/12/2013 - 22:42h

Tente assim:

# Teste
iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT


"e no eth2 tenho o ip virtual"
O que você quer dizer com IP virtual?
É em uma máquina virtual?