Denuncie   Favoritos   Indicar  

IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

1. IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

José
zehErico
(usa Debian)

Enviado em 22/07/2017 - 10:01h

Cenário:

[Gateway]
- eth0 -> interface pública;
- eth1 -> interface privada;

[Estação 1]
- eth1 -> interface privada

Objetivo:
Liberar internet para Estação 1 através do Gateway.

Problema:
Devido à segurança do host em nuvem, o Hypervisor "dropa" os pacotes de saída da máquina Estação 1 para evitar IP Spoofing.

Detalhes:
On DigitalOcean, packets leaving a Droplet with a different source address will actually be dropped by the hypervisor, so your packets at this stage will never even make it to the web server (we will fix this by implementing SNAT momentarily). This is an anti-spoofing measure put in place to prevent attacks where large amounts of data are requested to be sent to a victim's computer by faking the source address in the request.


O que fiz
Já tentei usar iptables com MASQUERADE ou com SNAT. Teoricamente em redes convencionais o problema seria simples de resolver e com uma destas duas opções citadas estaria resolvido.

O que fazer
Alguém tem alguma ideia do que fazer para contornar este problema?


0 0
  • Quote

    •   


    2. Re: IPTABLES - Liberar Internet em Rede Local Utilizando Gateway Através de Hypervisor

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 22/07/2017 - 17:35h

    Uma sugestão:

    "Com o snat ( source nat ) é possível alterar o endereço de origem no cabeçalho (header) dos pacotes que combinam com a regra criada.

    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 172.16.1.123

    Nesta regra, todos os pacotes que saírem pela interface de rede eth0 terão os endereços de origem alterados para 172.16.1.123."

    https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=5

    1 0
  • Quote

    • 3. Re: IPTABLES - LIBERAR TUDO DE DENTRO PARA FORA DA REDE INTERNA

    José
    zehErico
    (usa Debian)

    Enviado em 24/07/2017 - 10:03h

    Agradeço a resposta e achei muito bom o conteúdo do link, porém infelizmente essa regra não serve para este caso. Mesmo sendo uma sugestão deles usá-la, ela não funciona.

    Posso estar engando mas ao que entendi o IP da requisição (Estação 1) fica armazenado na tabela ARP do próprio Hypervisor, assim a regra com SNAT torna-se sem utilidade.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Atualizando o Passado: Linux no Lenovo G460 em 2025

    aaPanel - Um Painel de Hospedagem Gratuito e Poderoso

    O macete do Warsaw no Linux Mint e cia

    Aprenda a Gerenciar Permissões de Arquivos no Linux

    Fundo pontilhado CSS

    Dicas

    Olha que Conky "bunitinhu" pra usar no seu sistema

    Git config não aplica configurações

    O que você quer para sua vida ao usar o Linux?

    Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal

    Dando - teoricamente - um gás no Gnome-Shell do Arch Linux

    Tópicos

    Problemas ao Boot do Windows para Ubunto (4)

    GT 420, distros com repositórios aparentemente nulos, alguma recomenda... (2)

    PWA no Debian (1)

    Não consigo usar o Bluetooth (3)

    Comprar um servidor nesse site é confiável? (5)

    Top 10 do mês

    Scripts

    [Shell Script] Criar Script para apagar determinados arquivos

    [Shell Script] inSANE - Script para usar Scanner

    [Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

    [Shell Script] Instalador de Hotspot Linux Debian (SysV)

    [Shell Script] Script para verificar o Status da bateria

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: