[Ubuntu-BR] iptables tá me deixando louco ....
Bruno Lima
bslima19 em gmail.com
Terça Abril 22 22:46:27 UTC 2008
Por favor pessoal,
alguem que entenda desse iptables e tenha msn ... por favor se manisfeste
...
tou aqui na pressão na empresa e não consigo colocar isso para funcionar ...
funciona tudo no firewall menos o redirecionamento da porta 80 do firewall
para porta 8080 do servidor web ...
já vi no status do iptables que as requisições tão caindo na regra de input:
Chain INPUT (policy DROP 7 packets, 2296 bytes)
pkts bytes target prot opt in out source
destination
6 360 ACCEPT tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:80
Mas depois disse não sei o por que de estar dando errado ... tenho um svn
server via apache funcionando no firewall e testei simplismente redirecionar
a porta 80 para porta 8080 do mesmo firewall e tb não dá certo parece que
qualquer redirecionamento não funciona aqui ....
já tentei de tudo liberar as porta FOWARD, deixar a politica FOWARD em
ACCEPT ...
Nada disso faz o redirecionamento ....
Por favor se alguem se sensibilizar com minha hst e quiser me ajuda meu msn
é bruno.lima at cpzados.org
Vou ser eternamente grato ....
segue o script de firewall a seguir ....
#!/bin/sh
#
# Script iptables para firewall.
# Feito para empresa Intertech - Soluções em Informática
# Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008
#
#
# Libera as portas do SVN (8080), VNC(5800/5900), SSH(22)
# Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina
192.168.123.1 (SERVIDOR SOL)
# Aceita conexões da rede interna
#
#
#
IPTABLES="/sbin/iptables" ## iptables
EXTDEV="eth0" ## placa de rede externa
INTDEV="eth1" ## placa de rede interna
IF_LOC="lo" # loopback
EXTIP=`ifconfig $EXTDEV | grep "inet " | cut -f2 -d: | cut -f1 -dB` ##
externo ip
INTIP=`ifconfig $INTDEV | grep "inet " | cut -f2 -d: | cut -f1 -dB` ##
interno ip
NET_INT="192.168.123.0/255.255.255.0" # Rede da interface INTDEV
case "$1" in
start)
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
#
## Compartilhar Internet
#
echo -n "Enabling IP Forwarding ... "
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "done."
#
## Dynamic Ip
#
echo -n "Enabling Dynamic Ips ... "
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "done."
#
## Limpa as tabelas e setando a politica DROP
#
echo -n "Flushing tables, Setting default policies to DROP ... "
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
echo "done."
echo -n "Setting up the firewall now ... "
## Somente conexões estabelecidas por nós primeiro
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Aceitar conexao das maquinas da rede interna
$IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT
## Permitir ssh (22) , svn (8080), webserver (80), vnc(5800,5900)
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5800 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5900 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5901 -j ACCEPT
# Aceita todo o tráfego vindo do loopback e indo pro loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
## Conexões estabelicidas sejam encaminhadas
$IPTABLES -A FORWARD -i $EXTDEV -m state --state RELATED,ESTABLISHED -j
ACCEPT
## Conexões da rede interna para internet
$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d 0/0 -s 0/0 --sport 80 -j ACCEPT
## MASQUAREDE (compartilhar internet)
$IPTABLES -A POSTROUTING -t nat -o $EXTDEV -j MASQUERADE
#Libera o VNC na porta 5900/5800
#$IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -i $EXTDEV -j DNAT
--to 192.168.123.1:5900
#$IPTABLES -t nat -A PREROUTING -p tcp --dport 5800 -i $EXTDEV -j DNAT
--to 192.168.123.1:5800
#Libera o servidor WEB na porta 80
#$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i $EXTDEV -j DNAT
--to 192.168.123.253:8080
#$IPTABLES -t nat -A PREROUTING -p tcp -s 0/0 -d 0/0 --dport 80 -j
REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -s 0/0 -d 0/0 -p tcp --dport 80 -j DNAT
--to 192.168.123.1:80
$IPTABLES -P OUTPUT ACCEPT
echo "Firewall has been fully installed"
;;
stop)
echo -n "Flushin all rules ... "
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F OUTPUT
echo "done."
;;
restart)
sh $0 stop
sh $0 start
;;
status)
$IPTABLES -L -n -v
;;
*)
echo "usage: $0 {start|stop|restart|status}"
exit 1
esac
exit 0
## EOF ##
--
Bruno Seabra Mendoça Lima
--------------
UFMA - Universidade Federal do Maranhão
DEINF - Departamento de Informática
LESERC - Laboratório de Engenharia de Software e Redes de Computadores
Pesquisador
Telefone: 3217-8239
-------------------
Intertech - Soluções em Informática
WEB Developer
Telefone: 3227-1224
-------------------
More information about the ubuntu-br
mailing list