Regras iptables

aedurocha
(usa Ubuntu)

Enviado em 11/10/2016 - 19:59h

Montei um pequeno servidor para estudos em minha casa com as seguinte caracteristica:
02 placas de rede - enp1s0 conectada a a um roteador que prover o acesso a internet ip estatico
-enp2s0 conectada a rede local com ip estatico
a placa 1 recebe internet e compartilha com a rede interna atraves do serviço dhcp.
no iptables está configurado o compartilhamento de internet e acesso remoto ssh. a duvida é a seguinte:
Tenho um micro com windows na minha rede interna, que preciso acessa remotamente atraves de um terminal rdp.
O ip da minha internet é fixo, o ip do micro da rede interna também é fixo, sei que é possivel redirecionar toda requisição do serviço rdp para um determinado IP, COMO ACRESCENTAR ESTA NOVA REGRA AO IPTABLES e qual regra devo acrescentar.
segue abaixo o resultado do iptables -L que está em uso no momento
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level warning

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Gostaria de com o tempo ir acrescentado mais regras ao itables, toda vez que surgir a necessidade de acrescentar um nova regra tenho que criar um novo script acrescentando todas as regras? ou com o tempo posso ir acrescentano uma a um ?

Desde já agradeço a atenção

Rpfreitas
(usa Linux Mint)

Enviado em 13/10/2016 - 14:08h

Você tem que adicionar as regras de NAT para as cadeias PREROUTING e POSTROUTING, para o ip que está configurado o seu terminal server. segue um exemplo abaixo

iptables -t nat -A PREROUTING -d 192.168.56.120 -p tcp --dport 80 -j DNAT --to 10.0.0.10:80
iptables -t nat -A POSTROUTING -d 10.0.0.10 -p tcp --dport 80 -j SNAT --to 192.168.56.120

Recomendo que de uma olhada sobre NAT no próprio VOL, que já tem excelentes material, segue alguns link abaixo.
https://www.vivaolinux.com.br/artigo/Configurando-um-NAT
https://www.vivaolinux.com.br/artigo/Conceito-de-NAT-detalhadamente
https://www.vivaolinux.com.br/artigo/Criando-regras-NAT

aedurocha
(usa Ubuntu)

Enviado em 14/10/2016 - 16:02h

Obrigado pela atenção.
Neste caso o precedimento ficaria assim?
Gravei minhas regras no arquivo iptables.rules que é carregado por um script na inicialização do servidor.

digito as novas regras:
iptables -t nat -A PREROUTING -d 192.168.56.120 -p tcp --dport 80 -j DNAT --to 10.0.0.10:80
iptables -t nat -A POSTROUTING -d 10.0.0.10 -p tcp --dport 80 -j SNAT --to 192.168.56.120
apos isso crio um novo arquivo IPTABLES.RULES com o comando:

iptables-save > /etc/network/iptables.rules

e pronto, quando reiciar o servidor as novas regras ja estaram valendo?

Ah mais uma dúvida no exemplo acima qual o IP que pertence ao terminal server na rede local?

Gostaria também de pedir desculpas pela demora, como disse estou estudando, e só posso dá continuidade aos teste quando tenho tempo.

aedurocha
(usa Ubuntu)

Enviado em 01/11/2016 - 11:11h

Olá Rpfreitas


Adicionei as regras ao iptables da seguinte forma
digitei as seguintes linhas:
iptables -t nat -A PREROUTING -d 192.168.2.50 -p tcp --dport 80 -j DNAT --to 10.100.254.25:80
iptables -t nat -A POSTROUTING -d 10.100.254.25 -p tcp --dport 80 -j SNAT --to 192.168.2.50

depois executei o seguinte comando para salvar as novas regra no meu arquivo iptables.rules
iptables-save > /etc/network/iptables.rules

apos isso reiniciei o servidor , mas não resolveu o problema, não estou conseguindo acessar o servidor da minha rede interna de fora (tenho ip fixo 201.???.??.254)

sendo que 192.168.2.50 e a placa que faz o acesso a internet e 10.100.254.25 é o ip da maquina xp para acesso remoto (terminal rdp)

segue abaixo com ficou meu IPTABLES que é carregado quando reinicio o servidor
# Generated by iptables-save v1.6.0 on Tue Nov 1 09:44:10 2016
*nat
:PREROUTING ACCEPT [556:36186]
:INPUT ACCEPT [160:10652]
:OUTPUT ACCEPT [6:411]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.2.50/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.100.254.25:80
-A POSTROUTING -o enp4s0 -j MASQUERADE
-A POSTROUTING -d 10.100.254.25/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.2.50
COMMIT
# Completed on Tue Nov 1 09:44:10 2016
# Generated by iptables-save v1.6.0 on Tue Nov 1 09:44:10 2016
*filter
:INPUT ACCEPT [12144916:10109392880]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12894345:8725813042]
-A FORWARD -i enp4s0 -o enp3s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp3s0 -o enp4s0 -j ACCEPT
-A FORWARD -j LOG
COMMIT
# Completed on Tue Nov 1 09:44:10 2016
# Generated by iptables-save v1.6.0 on Tue Nov 1 09:44:10 2016
*mangle
:PREROUTING ACCEPT [253433221:186117211803]
:INPUT ACCEPT [12144916:10109392880]
:FORWARD ACCEPT [241115437:175997732073]
:OUTPUT ACCEPT [12894345:8725813042]
:POSTROUTING ACCEPT [254051848:184733243213]
COMMIT

O que está errado?