redirecionamento de porta

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 14:12h

tenho uma aplicação aqui, que precisa acessar minha rede pela porta 3340

a requisição é feita pelo cliente externo, entra no meu firewall e vai pro servidor, que manda a resposta.

o pessoal faz a requisição fora da rede e consegue o acesso.
mas meu sistema nao consegue reenviar a resposta.

tive problemas com o arquivo de firewall original e estou remontando ele. so fiz o compartilhamento da net para rede interna e agora estou tentando colocar esta regra. mesmo consultando o arquivo antigo nao achei referencia a esta regra.

usei os seguintes comandos que liberaram o acesso pro lado de fora mas ainda nao consegui para dentro

iptables -t nat -A PREROUTING -p tcp --dport 3340 -j DNAT --to-destination ip_server

iptables -A FORWARD -p tcp --dport 3340 -j ACCEPT

iptables -t nat -A POSTROUTING -d ip_server -p tcp --dport 3340 -j SNAT --to ip_gateway

agradeço a ajuda

phrich
(usa Slackware)

Enviado em 20/09/2012 - 17:56h

No seu script, inclua a seguinte linha antes das regras de forward:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 18:54h

caro phrich,
não obtive sucesso com a seu comando,
muito obrigado pela colaboração

phrich
(usa Slackware)

Enviado em 20/09/2012 - 18:59h

Vc não está usando um script? está só no terminal?

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 19:15h

estou usando script sim. inseri esta linha, tentei realizar a operação e nao obtive sucesso, tentei um telnet ao ip destino negado tbm.

algumas duvidas de conceito, talvez seja alguma falha aqui.
alterando o scrpit preciso reiniciar com algum comando??
se usar o iptables -F ele limpa todas as regras, que inseri via terminal ou as do script tambem?
alguma configuração do squid pode estar barrando isto?

phrich
(usa Slackware)

Enviado em 20/09/2012 - 19:31h

alterando o scrpit preciso reiniciar com algum comando??
R= Depende de como foi feito o seu script

se usar o iptables -F ele limpa todas as regras, que inseri via terminal ou as do script tambem?
R= Todas, as regras inseridas tanto por script e/ou terminal ficam na memória

alguma configuração do squid pode estar barrando isto?
R= Sim pode, se for uma aplicação web, neste caso, vc deve acrescentar a porta no squid, do mesmo como é feito para https, cpanel, etc

Caso ache melhor, poste seu script de firewall aqui.

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 19:42h

este é o script original, ele esta todo comentado por que o server foi reiniciado e ele acusou erro em todas as linhas, e não estava funcionando mais a aplicação.
comentei todas as linhas e tentei realizar só a liberação da porta 3340.


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3340 -j DNAT --to-dest 192.168.1.7:3340

iptables -A FORWARD -p tcp -i eth0 --dport 3340 -d 192.168.1.7 -j ACCEPT

iptables -t nat -A POSTROUTING -d 192.168.1.7 -p tcp --dport 3340 -j SNAT --to 201.72.255.98

iptables -A INPUT -p tcp --destination-port 3340 -j ACCEPT

iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT

# Generated by iptables-save v1.3.5 on Thu Sep 20 14:50:23 2012

#*mangle

#:PREROUTING ACCEPT [7302072:4343392023]

#:INPUT ACCEPT [991801:481604530]

#:FORWARD ACCEPT [6293674:3855476794]

#:OUTPUT ACCEPT [973351:578431023]

#:POSTROUTING ACCEPT [7265951:4433807315]

#COMMIT

# Completed on Thu Sep 20 14:50:23 2012
# Generated by iptables-save v1.3.5 on Thu Sep 20 14:50:23 2012

#*nat

#:PREROUTING ACCEPT [188734:13784818]

#:POSTROUTING ACCEPT [12082:739265]

#:OUTPUT ACCEPT [26169:1947241]

#-A PREROUTING -p tcp -m tcp --dport 3340 -j DNAT --to-destination 192.168.1.7

#-A PREROUTING -d 201.72.255.98 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.13:8080

#-A PREROUTING -d 201.72.255.98 -p tcp -m tcp --dport 5269 -j DNAT --to-destination 192.168.1.11:5269

#-A PREROUTING -d 201.72.255.98 -p tcp -m tcp --dport 5222 -j DNAT --to-destination 192.168.1.11:5222

#-A PREROUTING -d 201.72.255.98 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.1.11:9090

#-A POSTROUTING -o eth0 -j MASQUERADE

#-A POSTROUTING -d 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -d 192.168.1.13 -p tcp -m tcp --dport 8080 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -d 192.168.1.11 -p tcp -m tcp --dport 9090 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -d 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 189.39.15.155

#-A POSTROUTING -d 192.168.1.1 -p tcp -m tcp --dport 3340 -j SNAT --to-source 189.39.15.155

#-A POSTROUTING -d 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -d 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -s 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 201.72.255.98

#-A POSTROUTING -s 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 189.39.15.155

#-A POSTROUTING -d 192.168.1.7 -p tcp -m tcp --dport 3340 -j SNAT --to-source 189.39.15.155

#COMMIT

# Completed on Thu Sep 20 14:50:23 2012
# Generated by iptables-save v1.3.5 on Thu Sep 20 14:50:23 2012

#*filter
#:INPUT ACCEPT [823901:464750460]

#:FORWARD ACCEPT [6290279:3854390518]

#:OUTPUT ACCEPT [972277:578330521]

#-A INPUT -s 202.138.226.216 -j DROP

#-A INPUT -s 72.64.137.43 -j DROP

#-A INPUT -s 67.63.56.91 -j DROP

#-A INPUT -i eth0 -p tcp -m tcp --dport 88 -j ACCEPT

#-A INPUT -i eth0 -p tcp -m tcp --dport 3340 -j ACCEPT

#-A INPUT -s 72.233.118.138 -j DROP

#-A INPUT -s 221.13.34.3 -j DROP

#-A INPUT -s 221.134.144.147 -j DROP

#-A INPUT -s 209.193.93.246 -j DROP

#-A INPUT -s 67.63.56.92 -j DROP

#-A INPUT -s 27.0.15.37 -j DROP

#-A INPUT -s 88.134.24.76 -j DROP

#-A INPUT -s 200.141.223.78 -j DROP

#-A INPUT -s 109.169.80.126 -j DROP

#-A INPUT -s 182.48.20.141 -j DROP

#-A INPUT -s 67.63.56.88 -j DROP

#-A INPUT -s 67.63.56.89 -j DROP

#-A INPUT -s 200.85.122.11 -j DROP

#-A FORWARD -p tcp -m tcp --dport 3340 -j ACCEPT

#-A FORWARD -i eth0 -p tcp -m tcp --dport 88 -j ACCEPT

#-A FORWARD -i eth0 -p tcp -m tcp --dport 3340 -j ACCEPT

#COMMIT

# Completed on Thu Sep 20 14:50:23 2012

phrich
(usa Slackware)

Enviado em 20/09/2012 - 19:51h

Digite as seguintes linhas no terminal:

iptables -x
iptables -t nat -x
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3340 -j DNAT --to 192.168.1.7:3340

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Repare que algumas linhas foram alteradas e outras "surgiram".

Presumo que o ip 192.168.1.7 seja o do seu servidor da aplicação e que sua eth0 seja a interface web certo?

Outra coisa, vc está utilizando o iptables-save e não um script propriamente dito, por isso estava dando os erros.

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 20:26h

esqueci de te mandar esses comandos, estou usando eles para compartilhar a web com a rede interna, estao corretos para se usar com seus comandos? eles iram todos antes dos que voce me passou??

#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
#compartilhando a web na rede interna
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&

Grato

phrich
(usa Slackware)

Enviado em 20/09/2012 - 20:51h

acrescente a linha:

iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE

após:

iptables -P FORWARD ACCEPT

eduardoniluiz
(usa Slackware)

Enviado em 20/09/2012 - 21:25h

estou tendo muitas dificuldades, os comandos nao funcionaram e a internet nao esta mais sendo compartilhada. isso aconteceu pq reiniciei o server novamente. vou procurar deixar a internet compartilhada novamente e depois tento novamente seus comandos.

no caso voce me disse que estou usando iptables-save, preciso reiniciar o iptables quando faço alguma alteração? ou quandosaio do editor do arquivo ela eh aplicada??

ATUALIZANDO
deixando esses comandos no script na funciona o compartilhamento, quando executo via shell funciona, oque pode ser??
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward

ATUALIZADO 2
acho que consegui resolver os problemas das portas, respondo amanha quando conseguir confirmar. mas se ainda puder tirar as minhas duvidas no ATUALIZADO agradeço.

grato

phrich
(usa Slackware)

Enviado em 20/09/2012 - 22:43h

Cara, veja esse artigo, vai ser uma luz para vc:

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede/