Migrando do ipchains para o iptables
Atualizou kernel e agora seu ipchains não fuciona mais? Escontre aqui a solução utilizando o iptables, uma nova ferramenta para firewall e mascaramento que se encontra nas versões 2.4 do kernel e superior.
Este artigo mostra exemplos utilizando o iptables e comparando-o com a mesma funcionalidade do ipchains.
[ Hits: 31.713 ]
Por: Wanderson Berbert em 24/07/2003
Redirecionado pacotes
Uma das coisas que eu não conseguia fazer funcionar corretamente no
ipchains era o redirecionamento de pacotes udp e tcp, com os pacotes
tcp. Consegui resolver o problema utilizando um programa chamado redir.
# redir --lport=80 --cport 80 --laddr=200.219.228.90 --caddr=192.168.0.1
Este comando redireciona os pacotes que entram pela porta 80 para um servidor na rede interna de ip 192.168.0.1 também pela porta 80.
No iptables este redirecionamento funcionou sem a necessidade de se instalar nenhum pacote adicional.
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1
Caso você queria redirecionar para outra porta no servidor
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:180
Página anterior Próxima página
Páginas do artigo
1.
Aceitando ou negando pacotes
2.
Mascarando uma conexão
3. Redirecionado pacotes
4.
Concluindo
Outros artigos deste autor
OneOrZero Helpdesk
Celestia, simulador espacial em tempo real
Bugzilla (Bug Tracking System)
Nagios - Um poderoso programa de monitoramento de rede (parte final)
Criando relatórios estatísticos com o webalizer
Leitura recomendada
IPTABLES - Conceitos e aplicação
Incrementando seu Firewall com o Layer 7 Filter
Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance)
Configurando firewall Shorewall no CentOS
Mandrake Firewall - Firewall com interface amigável
Comentários
Artigo bem interessante para quem ainda não migrou para o iptables!
Olá amigo como eu mudo a seguinte regra que esta em ipchains para iptables !
ipchains -A input -j DENY -i eth0
ipchains -A input -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
ipchains -A output -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
Se poder mi ajudar fico grato !
Mensagem
Olá amigo como eu mudo a seguinte regra que esta em ipchains para iptables !
ipchains -A input -j DENY -i eth0
ipchains -A input -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
ipchains -A output -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
Se poder mi ajudar fico grato !
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J drop
Mensagem
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J drop
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J DROP
Mensagem
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J DROP
E ae blz ? Cara eu gostaria d uma ajuda, eu queria saber se tem como eu liberar todos os ip's para uma porta, Eu acho q Pode ser assim mas naão tenho certeza ---> # iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT <------ Porem não tenho certeza sobre esses 0.0.0.0, se vc puder me ajudar fico agradecido, Falo e obrigadado !
Mensagem
E ae blz ? Cara eu gostaria d uma ajuda, eu queria saber se tem como eu liberar todos os ip's para uma porta, Eu acho q Pode ser assim mas naão tenho certeza ---> # iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT <------ Porem não tenho certeza sobre esses 0.0.0.0, se vc puder me ajudar fico agradecido, Falo e obrigadado !
Está legal, mas quando não interessa o destino, não é necessário coloca-lo no comando:
iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT
vc pode tirar o destination -d e o comando ficará assim:
iptables -A INPUT -i eth0 -p tcp --dport 4660 -j ACCEPT
Desta maneira deve funcionar sem problemas.
Mensagem
Está legal, mas quando não interessa o destino, não é necessário coloca-lo no comando:
iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT
vc pode tirar o destination -d e o comando ficará assim:
iptables -A INPUT -i eth0 -p tcp --dport 4660 -j ACCEPT
Desta maneira deve funcionar sem problemas.
Obrigado pela resposta, soh vou t encomodar + uma vez.... eu peguei um guia de configuração do iptables que é
http://www.mtm.ufsc.br/~krukoski/pup/linux/focalinux3/ch-fw-iptables.htm então nesse artigo eu encontrei varias pasta q não existem, queria saber se eu tenho q criar esses arquivos e pastas ou eles estão em outros lugares ? como por exemplo /var/log/kern.log e /etc/network/interfaces porem existem alguns q existem como por exemplo /proc/net/ip_tables_names então me de uma luz, rsrsrs.
Falow um abraço
Mensagem
Obrigado pela resposta, soh vou t encomodar + uma vez.... eu peguei um guia de configuração do iptables que é http://www.mtm.ufsc.br/~krukoski/pup/linux/focalinux3/ch-fw-iptables.htm então nesse artigo eu encontrei varias pasta q não existem, queria saber se eu tenho q criar esses arquivos e pastas ou eles estão em outros lugares ? como por exemplo /var/log/kern.log e /etc/network/interfaces porem existem alguns q existem como por exemplo /proc/net/ip_tables_names então me de uma luz, rsrsrs.
Falow um abraço
Não é necessário criar estas pastas pois as mesmas variam de uma distribuição para outra.
Se prenda ao que está escrito no manual do iptables.
$ man iptables
Valews?
Mensagem
Não é necessário criar estas pastas pois as mesmas variam de uma distribuição para outra.
Se prenda ao que está escrito no manual do iptables.
$ man iptables
Valews?
Boa, me ajudou muito, nota 9
Mensagem
Boa, me ajudou muito, nota 9
Interessante é que com iptables pode se fazer a maioria dos bloqueio, deixando algo muito especifico pro squid
Mensagem
Interessante é que com iptables pode se fazer a maioria dos bloqueio, deixando algo muito especifico pro squid
Contribuir com comentário
Enviar