Redirecionar porta do firewall snmp udp 16100 (ext) para local 161 (int)

1. Redirecionar porta do firewall snmp udp 16100 (ext) para local 161 (int)

renatodru
(usa Debian)

Enviado em 09/05/2016 - 17:48h

Olá, estou implementando monitoramento SNMP em maquinas de outras redes com a ferramenta Zabbix.
O Zabbix vai coletar a informação snmp na porta 16100 do cliente, ao qual esta em outra rede.
(Zabbix - firewall - router - internet - router - firewall - servidor)
Preciso que firewall (CentOS) do cliente redirecione o trafego (UDP) que ele recebe na interface eth0 porta 16100 para a maquina na interface eth1 com ip fixo na porta 161
a politica do firewall é bloquear tudo. Eu não o configurei, sou noob, então preciso de ajuda.
eu ja tentei as seguintes regras:

iptables -A INPUT -p udp --dport 16100 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.1.20 --dport 16100 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 16100 -j DNAT --to 192.168.1.20:161

iptables -A FORWARD -p udp -i eth0 --dport 16100 -d 192.168.1.20 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 16100 -j DNAT --to-dest 192.168.1.20:161

mesmo utilizando a ferramenta snmpget com a chave snmp e na porta 16100, não é retornado informação.
meu firewall é liberado.

as regras na porta 8080, 3389, 8002 e 22000 funcionam normalmente
o script do firewall é o seguinte, ele é levantado a partir do /etc/rc.d/rc.local

[root@frw ~]# cat /usr/local/bin/cliente_frw
#!/bin/bash

## ..................- ##
#Limpa as tabelas do firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
## ..................- ##
# Carrega modulos do iptables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
modprobe iptable_nat
modprobe ip_tables
## ..................- ##
# Libera a rede com nat, fazendo kernel compartilhar a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
## ..................- ##
# politicas padroes
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
## ..................- ##
# libera trafego de localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.105 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.1.1 -i lo -j ACCEPT
## ..................- ##
# libera trafego reverso cuja saida tenha sido autorizada
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## ..................- ##
# libera o firewall para receber alguns tipos de conexao
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT
## ..................- ##
# libera a saida da rede interna para a internet
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
## ..................- ##
# Masquerading para a ligacao entre a rede interna e externa
iptables -t nat -A POSTROUTING -o lo -d 127.0.0.0/8 -j ACCEPT
#iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
## ..................- ##
## Liberando ( TCP ) DNS, smtp, pop, http e squid para rede interna ##
iptables -A FORWARD -p tcp -m multiport --dports 25,53,110,587,468,3128,8002 -j ACCEPT
## ..................- ##

# Proxy transparente
iptables -A PREROUTING -t nat -p tcp -s 192.168.1.1 -d 192.168.1.1 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

## ..................- ##
## REDIRECIONAMENTO DE PORTAS ##
iptables -A INPUT -p tcp --dport 22000 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 80 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 --dport 8002 -d 192.168.1.20 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8002 -j DNAT --to-dest 192.168.1.20

iptables -A FORWARD -p tcp -i eth2 --dport 3389 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 --dport 80 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 --dport 8080 -d 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -i eth2 --dport 8002 -d 192.168.1.20 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.20
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 8002 -j DNAT --to-dest 192.168.1.20

## ..................- ##
##Proteç contra IP Spoofing ##
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
## Aceita ping ##
#iptables -A INPUT -p icmp -j ACCEPT
## Rejeita Ping ##
#iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

0 0

Quote

2. Re: Redirecionar porta do firewall snmp udp 16100 (ext) para local 161 (int)

renatodru
(usa Debian)

Enviado em 10/05/2016 - 10:02h

Consegui trocando o -A por -I, mas não queria resolver desta forma.

[root@frw ~]# iptables -I INPUT -p udp --dport 16100 -j ACCEPT
[root@frw ~]# iptables -I FORWARD -p udp -d 192.168.1.20 --dport 16100 -j ACCEPT
[root@frw ~]# iptables -t nat -I PREROUTING -p udp --dport 16100 -j DNAT --to 192.168.1.20:161
[root@frw ~]# iptables -I FORWARD -p udp -d 192.168.1.20 --dport 161 -j ACCEPT

0 0

Quote