liberação para acesso

dpsspfc
(usa Outra)

Enviado em 13/07/2009 - 14:54h

Nós somos filial de uma empresa temos um firewall que precisa ser liberado para acessar o servidor 10.10.0.27 na porta 9090 fiz uma liberação em serviços aqui e nada. Usamos slackware-iptables.

se puderem me ajudar...

renato_pacheco
(usa Debian)

Enviado em 13/07/2009 - 14:58h

Kra, é aconselhável vc colocar as regras do iptables aki, pois a ordem q vc coloca a regra influi e muito, mas a regra básica seria assim:

iptables -A INPUT -s 10.10.0.27 -p tcp --dport 9090 -j ACCEPT

Caso vc não queira colocar suas regras aki, essa regra acima vc deve colocar antes das regras d DROP, ok?

dpsspfc
(usa Outra)

Enviado em 13/07/2009 - 18:55h

rapaz, não funcionou não
deixa eu explicar melhor: a interface da matriz com a filial é eth1.e a interface da filial é eth2.

preciso acessar o servidor 10.10.0.27 na porta 9090 dele.

renato_pacheco
(usa Debian)

Enviado em 14/07/2009 - 12:31h

É isso q eu num tou entendendo direito. Quem quer acessar afinal? A matriz acessa a filial ou a filial a matriz ou os dois? Se for os dois (q deve ser o caso), faça o seguinte:

iptables -A INPUT -i eth1 -s 10.10.0.27 -p tcp --dport 9090 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 10.10.0.27 -p tcp --sport 9090 -j ACCEPT
iptables -A FORWARD -i eth1 -s 10.10.0.27 -p tcp --dport 9090 -j ACCEPT

- O INPUT é pra acessar d fora pra dentro;
- O OUTPUT é pra acessar d dentro pra fora;
- O FORWARD é pra encaminhar o pacote para a próxima interface (eth2).

dpsspfc
(usa Outra)

Enviado em 14/07/2009 - 12:55h

somos a filial e tentamos acessar um servidor na matriz, o mesmo já está liberado para o acesso, mas qd levanto o firewall ele não acessa. a interface da nosa filial é eth2 e acho que deveriamos acessar o 10.10.0.27:9090 pela saída normal e não pela eth1 que faz a conexão da filial coma matriz para os sistemas existentes, agora não sei se uso output, prerouting etc..

dpsspfc
(usa Outra)

Enviado em 14/07/2009 - 13:00h

como faço para liberar o destino tipo usando essa regra
$IPTABLES -t nat -A PREROUTING -d 10.10.0.27:9090 -p tcp -J ACCEPT

essa sintaxe não funciona quando usso esse ":9090".

renato_pacheco
(usa Debian)

Enviado em 14/07/2009 - 13:17h

Entendi, agora (eu acho). Eu não sei q serviço é esse, mas não é o caso do redirecinamento d portas, mas sim d FORWARD (encaminhamento). A regra então é essa:

iptables -A FORWARD -o eth2 -d 10.10.0.27 -p tcp --dport 9090 -j ACCEPT

Não se esqueça d ativar o forward no kernel:

echo 1 > /proc/sys/net/ipv4/ip_forward

dpsspfc
(usa Outra)

Enviado em 14/07/2009 - 13:48h

rapaz funcionou não, tá estranho esse negocio aqui pq já fiz direcionamento para sites que usavam a porta especifica e funcionou legal, mas esse não funciona, será que não é pq esse 10.10.0.27 é endereço frio?
mas se eu desativar o firewall passa normal muito estranho....
vou colocar no arquivo hosts p/ver....

renato_pacheco
(usa Debian)

Enviado em 14/07/2009 - 14:19h

Explica melhor essa comunicação entre a matriz e a filial: q tipo d serviço vcs usam e como é feita a conexão entre eles?

dpsspfc
(usa Outra)

Enviado em 14/07/2009 - 14:32h

agente usa uma interface eth1 para comunicar com a filial, o servidor 10.10.0.27 é uma base de dados que o aplicativo de mensangem instananea precisa para carregar os usuarios automaticamente a porta 9090 foram eles(quem criou o servidor) que definiram.
a interface interna nossa aqui é eth2 adm e eth3 academica, eu preciso acessar o 10.10.0.27 para fazer algumas alterações na base.

qd acesso sem o firewall aparece uma tela de usuario openfire e senha, é isso. Coloquei essa regra que tú falou mais ele tenta e não consegue. pode ser squid? só que coloquei a regra antes do direcionamento para a 3128 do squid...

renato_pacheco
(usa Debian)

Enviado em 14/07/2009 - 15:00h

Hum... então quer dizer q vc se encontra na rede eth2 e quer se comunicar através da eth1, q é o servidor openfire? Se for isso, tente essas regras aki:

iptables -A INPUT -i eth1 -s 10.10.0.27 -p tcp --dport 9090 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 10.10.0.27 -p tcp --sport 9090 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth2 -d 10.10.0.27 -p tcp --dport 9090 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -s 10.10.0.27 -p tcp --sport 9090 -j ACCEPT

Bicho, se num der certo, não sei mais o q fazer...

syman_jr
(usa Debian)

Enviado em 27/07/2009 - 14:02h

Cara tive problemas com isso também..
Resolvi usando o redir (dica de um cara aqui do vol mesmo, Luciano Gomes).

instale esse pacote REDIR de direitos de root no mesmo; vc vai configurar assim no teu caso

redir -laddr=0.0.0.0 --lport 9090 --caddr=10.10.0.27 --cport 9090 &

testa ae depois posta o resultado.

Abraço