Configuração de IPtables

removido
(usa Nenhuma)

Enviado em 27/02/2011 - 13:47h

Olá galera,

Preciso de uma ajuda para configurar o IPtables aqui.
Já fiz tudo como se deve fazer e ainda não consegui fazer o MASQUERADE na rede.
Estou usando máquinas virtuais conectadas à máquina base e esta conectada a um roteador conectado a modem ADSL.

Existem algum problema nisso?
O uso do roteador pode bloquear minha NAT?

Vou postar minha configuração aqui caso puderem ajudar

########################################
Configuração da Interface cliente (XP)

IP: 192.168.60.10
Máscara: 255.255.255.0
Gateway: 192.168.60.1

######################################

No Debian o arquivo /etc/network/interfaces está assim:

auto eth0
iface eth0 inet dhcp

iface eth2 inet static
address 192.168.60.1
netmask 255.255.255.0

########################################

O roteamento está ativado no arquivo /etc/sysctl.conf

########################################

O cliente piga as interfaces eth0 e eth2 do debian



Fiz as seguintes regras no iptables mas não funcionaram

iptables -t nat -A POSTROUTING -d 192.168.60.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.60.0/24 -o eth0 -j MASQUERADE


O que está errador?

POr favor alguém me ajude!

CaioSerrano
(usa BackTrack)

Enviado em 27/02/2011 - 19:33h

Amigo, deixa ver se eu entendi....
vc quer fazer NAT do Linux...
primeiro coloque na maquina virtual o linux em modo bridged ...
depois no linux suba a nat com:
modprobe iptable_nat
iptables -t nat -A POSTROUTING -p tcp --dport(porta) -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
e depois teste...
ah se for speedy, portas como 80, 22, 21(portas baixas) serão bloqueadas

Eu não sei se eraa isso mas qualquer coisa, volte a perguntar...

rodrigoh79
(usa Debian)

Enviado em 27/02/2011 - 20:19h

Cara, cada caso é um caso. Mas meu mascquerade funciona assim:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

rodrigoh79
(usa Debian)

Enviado em 27/02/2011 - 20:20h

Soh troca o pp0 pela sua interface de rede local, eth0.

removido
(usa Nenhuma)

Enviado em 27/02/2011 - 20:27h

Mas cara,

u uso o speedy não entendi como essas portas são bloqueadas.
Acho q é isso q eu preciso.

Pode ser então q o speedy esteja me atrapalhando
Mas como eu consigo acessar um site (80) ou ssh (22) pela máquina base?
Se puder ajudar
Vlw

removido
(usa Nenhuma)

Enviado em 27/02/2011 - 22:06h

Agora entendi o problema,
só não sei ainda como resolver.

Preciso criar no Debian um redirecionamento da porta 80 para a porta XX então tudo o que chegar no Debian pela interface da LAN na porta 80 será redirecionado para a porta XX e tudo que chegar na inetrface de internet do Debian na porta XX deve ser redirecionado para a porta 80 e máquina de destino.

Preciso também criar um redirecionamento de porta no roteador e no modem.

Alguém pode me ajudar com a regra do iptables??

Valeu vou tentar criar os redirecionamentos no modem e roteador!

Flws

CaioSerrano
(usa BackTrack)

Enviado em 27/02/2011 - 22:12h

Na verdade não... Assim..
o speedy bloqueia as portas baixas para usuarios normais, que não tenham a conta para empresas(não adianta perguntar para qualquer tecnico que ele vão te responder que é problema de NAT)


No apache, no arquivo ports.conf(acho que esse) configure o apache para se comunicar em portas tipo 80800, .....
ai é so fazer NAt e blz...

removido
(usa Nenhuma)

Enviado em 27/02/2011 - 22:17h

Então cara, mas eu ainda não estou colocando um web server interno ,

Quero apenas permitir que uma máquina cliente em uma rede 192.168.10.0/24
acesse a internet.

o roteador está oferecendo IPs 192.168.1.0/24 e uma interface do Debian recebe ip dele e tem acesso a net

Entendeu?

Vlws
Rodrigo.

CaioSerrano
(usa BackTrack)

Enviado em 27/02/2011 - 22:30h

Então deixa eu ver se entendi!!!(to devagar hj)

Seu Roteador está oferecendo IPs 192.168.1.0.... e vc quer coloca-los em 192.168.0.0....??
se for isso, e temo que não seja(peço desculpas)

é so entrar da pagina do roteador e configurar essa opção
deve ser 192.168.1.0


(Desculpa qualquer coisa)

gek09
(usa Debian)

Enviado em 04/03/2011 - 23:18h

Olá amigo estou colocando uma configuração de iptables, não sei se isso pode te ajudar...
No meu firewall utilizo as placas de rede eht0 e eth1 sempre com ip fixo..

#Variáveis
iptables=/sbin/iptables
IF_EXTERNA=eth0 #Internet
IF_INTERNA=eth1 #Rede Local

#***************
#Ativa Módulos
#***************
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

#Ativa roteamento no kernel
echo "1" > /proc/sys/net/ipv4/ip_forward

#Proteção contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Limpa Regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

#Determina a política padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#***************
#Tabela Filter
#***************

#Dropa pacotes TCP indesejáveis
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#Dropa pacotes mal formados
iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "
iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP

#Aceita os pacotes que realmente devem entrar
iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#Proteção contra worms
iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT

#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Log tentativa de acesso a determinadas portas
iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "
iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "

#Libera acesso externo a determinadas portas
iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT

#************
#Tabela NAT
#************

#Ativa mascaramento de saída
iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE

#Proxy transparente | No meu caso utilizo tambem o squid, caso voce utilizar tambem favor descomentar a linha
#iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128