Liberar acesso externo [RESOLVIDO]

dsmi
(usa CentOS)

Enviado em 21/10/2013 - 21:32h

Buenas pessoal, tenho um servidor web rodando na rede 172.16.0.0, sobre o ip 172.16.0.3, na rede interna tenho acesso a ele perfeitamente porem gostaria de liberar acesso externo que seria na rede 19.168.0.0, abaixo seguem as regras do meu iptables

root@ubuntu:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.0.0/24 anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- 172.16.0.0/24 anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- 192.168.0.0/24 anywhere state NEW
ACCEPT icmp -- 172.16.0.0/24 anywhere state NEW
ACCEPT tcp -- 192.168.0.0/24 anywhere state NEW tcp dpt:webmin
ACCEPT tcp -- 172.16.0.0/24 anywhere state NEW tcp dpt:webmin
ACCEPT tcp -- 172.16.0.0/24 anywhere state NEW tcp dpt:3128
ACCEPT udp -- 172.16.0.0/24 anywhere state NEW udp dpt:snmp
BLOCK_LOG all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- 172.16.0.0/24 anywhere state NEW udp dpt:snmp
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- 172.16.0.0/24 anywhere state NEW tcp dpt:submission
ACCEPT tcp -- 192.168.0.0/24 anywhere state NEW tcp dpt:3389
BLOCK_LOG all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain BLOCK_LOG (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix "Negado: "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable


e as regras de nat que tenho

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere 192.168.0.103 tcp dpt:3389 to:172.16.0.2:3389
REDIRECT tcp -- 172.16.0.0/24 anywhere tcp dpt:http redir ports 3128

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

o que devo liberar para a minha rede 192.168.0.0 acessar o meu servidor web na rede 172.16.0.0
tentei criar um redirecionamento igual ao do porta 3389 que utilizo para acessar externamente o meu ts mas não funcionou, alguém pode me ajudar??

grato

px
(usa Debian)

Enviado em 22/10/2013 - 00:34h

Fale mais sobre a infraestrutura da rede e se der poste o script de iptables, as regras devem ser colocadas na sequência certa para não dar M

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 08:44h

Na verdade é um ambiente de testes, que está estruturado da seguinte maneira, meu firewall conta com duas interfaces de rede, eth0 que está em bridge com a rede do meu PC ip 192.168.0.103, e a eth1 configurada como rede interna ip 172.16.0.1, o que eu preciso é dar acesso ao servidor web ip 172.16.0.3 as maquinas que estão na rede 192.168.0.0, que seria meu ambiente "externo"
segue o script do meu firewall

#compartilhar conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#redirecionar portas
iptables -t nat -A PREROUTING -s 172.16.0.1/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -d 192.168.0.103 -p tcp --dport 3389 -j DNAT --to-destination 172.16.0.2:3389

#basic
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#cria chain
iptables -N BLOCK_LOG
iptables -A BLOCK_LOG -j LOG --log-prefix "Negado: "
iptables -A BLOCK_LOG -j REJECT

#lan INPUT rules
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -m state --state NEW -s 172.16.0.0/24 -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -s 172.16.0.0/24 -p icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -m state --state NEW -s 172.16.0.0/24 -p tcp --dport 10000 -j ACCEPT
iptables -A INPUT -m state --state NEW -s 172.16.0.0/24 -p tcp --dport 3128 -j ACCEPT

#lan FORWARD rules
iptables -A FORWARD -m state --state NEW -s 192.168.0.0/24 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 172.16.0.0/24 -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 172.16.0.0/24 -p tcp --dport 53 -j ACCEPT

#snmp rules
iptables -A INPUT -m state --state NEW -s 172.16.0.0/24 -p udp --dport 161 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 172.16.0.0/24 -p udp --dport 161 -j ACCEPT

#external

#loga tudo e fecha
iptables -A INPUT -j BLOCK_LOG
iptables -A FORWARD -j BLOCK_LOG

px
(usa Debian)

Enviado em 22/10/2013 - 10:40h

A regra de redirecionamento para a porta do squid:

iptables -t nat -A PREROUTING -s 172.16.0.1/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128


pode ser um problema...

Tente deixa-la assim caso não consiga acessar o servidor:

iptables -t nat -A PREROUTING -s 172.16.0.1/24 ! -d 172.16.0.3 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

dsmi
(usa CentOS)

Enviado em 22/10/2013 - 12:34h

px, muito obrigado pela ajuda com as regras que me passou consegui resolver a única coisa que tive que acrescentar foi está regra aqui
iptables -t nat -A PREROUTING -d 192.168.0.103 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.3

ai acessou perfeitamente


muito obrigado pela ajuda

px
(usa Debian)

Enviado em 22/10/2013 - 12:43h

blz, qlqr coisa tamo ai