IPTABLES [RESOLVIDO]

anderramos
(usa Debian)

Enviado em 20/12/2010 - 23:08h

Boa noite a todos do VOL, queria que me ajudasem a me tirar uma duvida que ta me tomando horas de aborrecimento , neste modesto script estou compartilhando a minha internet, fazendo
redirecionamento RDP n minha rede interna tudo certinho funciona.

so que quando eu tento acessar ,um servidor externo eu nao consigo


ex: do meu trabalho ip fixo,

200.xxx.xx.xx.x :8282 - servidor de cameras este eu acesso via http://
200.xxx.xx.xx.x :3389 -RDP
200.xxx.xx.xx.x :1224 -SSH


estes serviços nao passa pelo meu firewall, quando eu tiro ele eu acesso estes serviços tramquilo, no que estou errando ??? ,preciso muito fazer funcionar isso tudo tando interno quanto externo espero a ajuda de voces.

# inicio

echo "INICIANDO O COMPARTILHAMENTO DA INTERNET"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


# ----------------------- iniciando DHCP ------------------------------
echo "iniciado o servidor DHCP....."

/etc/init.d/dhcp3-server start

echo "concluido..................!!"
# ---------------------- iniciando proxy --------------------------------

echo "iniciado o servidor Proxy ..."
/etc/init.d/squid3 stop
/etc/init.d/squid3 start

echo "Concluido...................!!"

# ------------------------ libera ssh interno ------------------------------

iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# ------------------- redireciona RDP REDE INTERNA WIN SERVER 2008 --------------------



iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.1.1.80
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.1.1.80 -j ACCEPT


# ------------------- redireciona RDP REDE INTERNA WIN SERVER 2008 PRA FORA ------------

iptables -t nat -A PREROUTING -i eth1-p tcp --dport 3389 -j DNAT --to-dest 10.1.1.80
iptables -A FORWARD -p tcp -i eth1 --dport 3389 -d 10.1.1.80 -j ACCEPT



# REDIRECIONA PROXY TRASPARENTE

#iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

thiagocoimbra23
(usa Debian)

Enviado em 21/12/2010 - 12:12h

boa tarde, gostaria de saber se você precisa acessar de dentro da sua rede qualquer ip externo ou só alguns ips externo, desde já agradesço fique com DEUS.

thiagocoimbra23
(usa Debian)

Enviado em 21/12/2010 - 12:33h

boa tarde ander, aqui tem uma regra, creio que atenda seus requisitos,
Provavelmente vai precisar de uma segunda regra para tratar o retorno
iptables -A FORWARD -i eth0 -s [seuIP] -o eth1 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -o eth0 -d [seuIP] -i eth1 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

altere as portas com sua necessidade. se funcionar por favor post aqui, um abraço e fique com DEUS.

anderramos
(usa Debian)

Enviado em 21/12/2010 - 13:55h

Boa tarde, eu segui o que você disse, e ainda acrecentei as regras,"libera para a rede",

desta forma consigo acessar meu servidor externo que rodatodos os serviços acima, so que o

RDP , SO FUNCIONA AQUI DENTRO DA REDE NAO CONSIGO SAIR, segue a configuração atual;


echo "INICIANDO O COMPARTILHAMENTO DA INTERNET"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# --------------------------------------------------------------------------------#
echo "iniciado o servidor DHCP....."

/etc/init.d/dhcp3-server start
# --------------------------------------------------------------------------------#
echo "concluido..................!!"

echo "iniciado o servidor Proxy ..."
/etc/init.d/squid3 stop
/etc/init.d/squid3 start

#---------------------------------------------------------------------------------#
echo "Concluido...................!!"
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# ----------------------------libera para acesso externo -------------------------#

iptables -A FORWARD -p tcp -s 10.1.1.199 -d 186.XXX.XXX.XX -j ACCEPT

# ----------------- abre para a rede local ---------------------------------------#

iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 8282 -j ACCEPT # ADMIN WEB CAMERAS
iptables -A FORWARD -i eth0 -p tcp --dport 9090 -j ACCEPT # ADMIN WEB OPEN FIRE
iptables -A FORWARD -i eth0 -p tcp --dport 5222 -j ACCEPT # OPEN FIRE
iptables -A FORWARD -i eth0 -p udp --dport 3389 -j ACCEPT # RDP
iptables -A FORWARD -i eth0 -p tcp --dport 3000 -j ACCEPT # ntop

# ----------------- abre para a rede EXTERNA -------------------------------------#

iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 8282 -j ACCEPT # ADMIN WEB CAMERAS
iptables -A FORWARD -i eth1 -p tcp --dport 9090 -j ACCEPT # ADMIN WEB OPEN FIRE
iptables -A FORWARD -i eth1 -p tcp --dport 5222 -j ACCEPT # OPEN FIRE
iptables -A FORWARD -i eth1 -p udp --dport 3389 -j ACCEPT # RDP
iptables -A FORWARD -i eth1 -p tcp --dport 3000 -j ACCEPT # ntop

# ----------------------------redireciona portas ----------------------------------#

# RDP -WINSERVER 2008

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.1.1.80
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.1.1.80 -j ACCEPT


# VNC RELATA

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to-dest 10.1.1.81
iptables -A FORWARD -p tcp -i eth0 --dport 5900 -d 10.1.1.81 -j ACCEPT


# REDIRECIONAR PROXY TRASPARENTE

iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# ----------------------------------------------------------------------------------------------------------------
echo "Iniciando protecao da rede interna .................."

#nao responder a pings.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Protecao contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#iptables -I INPUT -i eth0 -s 10.1.1.80 -j DROP


echo " Todas as Protecoes forao ativadas............"

anderramos
(usa Debian)

Enviado em 10/02/2011 - 13:37h

Consegui galera graças a ajuda de voces eu fui estudar um pouco a estrutura do iptables, e consegui resolver o meu problema e ajudar outras pesoas e a cada dia que passa, me vejo mais envolvido no mundo linux,

muito obrigado a todos!!