Liberar Porta para um determinado IP externo [RESOLVIDO]

Neo_X
(usa CentOS)

Enviado em 31/01/2013 - 10:50h

Olá pessoal, preciso da ajuda de vocês. Eu uso uma regra de NAT que funciona direitinho no meu CentOS:

### Qualquer origem para um destino - OK

iptables -t nat -I PREROUTING -s 0/0 -d x.x.x.x -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.37:3389
iptables -t filter -I FORWARD -p tcp -s 192.168.0.37 -d 0/0 -j ACCEPT
iptables -t filter -I FORWARD -p tcp -s 0/0 -d 192.168.0.37 -j ACCEPT


### Uma oritem para um destino - Essa não funciona.

iptables -t nat -I PREROUTING -s 187.9.x.x. -d "IP_WAN_CentOS" -p tcp --dport 1521 -j DNAT --to-destination 192.168.0.37:1521
iptables -t filter -I FORWARD -p tcp -s 192.168.0.37 -d 187.9.x.x -j ACCEPT
iptables -t filter -I FORWARD -p tcp -s 187.9.x.x -d 172.16.0.37 -j ACCEPT




Alguém saberia me dizer se tem algum erro nesta regra?




Valeu pessoal.

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 11:27h

Cara, o problema pode ser nesse FORWARD ae. Acredito q possa t confundido alguma coisa com relação aos IPs mencionados. Não posso falar especificamente pois não sei quais são os IPs públicos da sua rede e da rede da pessoa q acessa à rede.

Neo_X
(usa CentOS)

Enviado em 31/01/2013 - 14:26h

Olá Renato vamos lá

Origem 189.78.144 - Telefonica Destino 177.69.X - ALGAR


Nestes casos o que pode ser feito?

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 14:45h

O DNAT deve ficar assim:

iptables -t nat -I PREROUTING -s 187.9.x.x. -d 177.69.x.x -p tcp --dport 1521 -j DNAT --to-destination 192.168.0.37:1521

 

Mas no FORWARD eu não sei quais são esses IPs (192.168.0.37 e 172.16.0.37) pra fazer as regras.

Neo_X
(usa CentOS)

Enviado em 31/01/2013 - 16:22h

iptables -t nat -I PREROUTING -s 189.78.x.x -d 177.69.x.x -p tcp --dport 1521 -j DNAT --to-destination 192.168.x.x:1521 # Oracle
iptables -t filter -I FORWARD -p tcp -s 192.168.x.10 -d 189.78.x.x -j ACCEPT
iptables -t filter -I FORWARD -p tcp -s 189.78.x.x -d 192.168.x.10 -j ACCEPT



Renato a regra que passou eu uso em todas as NAT e funciona bem, também coloco essas abaixo. Agora funcionou. Estou achando estranho meu firewall demorar para abrir a porta. Quando testei de manhã não funcionou.

renato_pacheco
(usa Debian)

Enviado em 31/01/2013 - 16:40h

Então faça o log das regras implementadas. Sabe fazer isso? Não? Então acrescente nas regras assim:

iptables -t nat -I PREROUTING -s 189.78.x.x -d 177.69.x.x -p tcp --dport 1521 -j LOG --log-prefix "ORACLE_IN --> " --log-level debug # Log Oracle

iptables -t nat -I PREROUTING -s 189.78.x.x -d 177.69.x.x -p tcp --dport 1521 -j DNAT --to-destination 192.168.x.x:1521 # Oracle

iptables -t filter -I FORWARD -p tcp -s 192.168.x.10 -d 189.78.x.x -j LOG --log-prefix "ORACLE_INT --> " --log-level debug

iptables -t filter -I FORWARD -p tcp -s 192.168.x.10 -d 189.78.x.x -j ACCEPT

iptables -t filter -I FORWARD -p tcp -s 189.78.x.x -d 192.168.x.10 -j LOG --log-prefix "ORACLE_OUT --> " --log-level debug

iptables -t filter -I FORWARD -p tcp -s 189.78.x.x -d 192.168.x.10 -j ACCEPT

 

E monitore no /var/log/messages...

Neo_X
(usa CentOS)

Enviado em 31/01/2013 - 18:11h

Renato, não sabia desse recurso. Acabei de fazer na regra, vou testá-lo.



Obrigado pela ajuda.

Neo_X
(usa CentOS)

Enviado em 01/02/2013 - 08:33h

Bom dia Renato,

Fiz aquela conf que me passou, mas aqui não funcionou, nos logs só aparecem o snmp. Vou abrir um novo tópico sobre logs, fica melhor.

Valeu.

Neo_X
(usa CentOS)

Enviado em 02/02/2013 - 11:04h

Olá Renato, tudo bem? Preciso de sua ajuda. Lembro que mensionou NAT com o mesmo Link/Operadora - Telefonica.

"Cara, o problema pode ser nesse FORWARD ae. Acredito q possa t confundido alguma coisa com relação aos IPs mencionados. Não posso falar especificamente pois não sei quais são os IPs públicos da sua rede e da rede da pessoa q acessa à rede."



Estou com um problema, tenho um link telefonica e no meu server tem várias ALIAS (Interface Virtual), quando os clientes externos que tem link telefonica acessam a NAT pelo link telefonica não conseguem. Pelas outras operadoras os acessos estão normais.

Estou procurando o que pode ser. Se puder me ajudar agradeço.