Não consigo redirecionar a porta 80 externa para um micro da rede.

antonioleite
(usa Debian)

Enviado em 22/09/2007 - 12:09h

Amigos, mais uma vez venho recorrer ao imenso conhecimento de todos vocês é o seguinte:

Estou com o seguinte problema, mudei a porta do apache para 777 e digito 192.168.1.250:777 para ver relatório gerados pelo MRTG e SARG, mas preciso redirecionar a porta 80 (de tudo que vier de fora) para o servidor de páginas Ruindow$ que esta em 192.168.1.111 e simplesmente da erro na página(não abre nem a pau) quando eu digito o ip fixo $IF_EXTERNA o que estou fazendo de errado???? Segue o Script abaixo:

#!/bin/bash
#
# Variáveis
# -------------------------------------------------------
iptables=/sbin/iptables
IF_EXTERNA=eth0
IF_INTERNA=eth1


# Ativa módulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE


# Proteção contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter


# Zera regras
# -------------------------------------------------------
$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -F -t mangle
$iptables -X -t mangle


# Determina a política padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP


####VARIOS FILTROS ping da morte, port scanner entre outros


# Libera acesso externo a determinadas portas
# -------------------------------------------------------
$iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT
##PREROUNTING
$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.1.111
$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1433 -j DNAT --to 192.168.1.111
$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1434 -j DNAT --to 192.168.1.111

###
$iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.111


### Regras INPUT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
$iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$iptables -A INPUT -p tcp --dport 22 -j ACCEPT
$iptables -A INPUT -p tcp --dport 21 -j ACCEPT
$iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
$iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
$iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
$iptables -A INPUT -p tcp --dport 1434 -j ACCEPT
$iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Porta VPN
$iptables -A INPUT -p udp --dport 5000 -j ACCEPT
$iptables -A INPUT -p udp --dport 5500 -j ACCEPT


#Libera TUN/TAP
$iptables -A INPUT -i tun+ -j ACCEPT
$iptables -A FORWARD -i tun+ -j ACCEPT
$iptables -A INPUT -i tap+ -j ACCEPT
$iptables -A FORWARD -i tap+ -j ACCEPT

#Permite pacote locais
$iptables -A INPUT -i $IF_INTERNA -j ACCEPT
$iptables -A INPUT -i $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -j ACCEPT -p tcp --dport 5000
$iptables -A INPUT -j ACCEPT -p tcp --dport 5500

### Regras FORWARD
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p icmp -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 25 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 22 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 21 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 110 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 443 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 3389 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 80 -j ACCEPT
$iptables -A FORWARD -i $IF_EXTERNA -o $IF_INTERNA -p tcp --dport 5900 -j ACCEPT
$iptables -A FORWARD -i $IF_EXTERNA -o $IF_INTERNA -p tcp --dport 1433 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p tcp --dport 1434 -j ACCEPT
$iptables -A FORWARD -i $IF_ EXTERNA -o $IF_ INTERNA -p tcp --dport 80 -j ACCEPT

#VPN
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p udp --dport 5000 -j ACCEPT
$iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -p udp --dport 5500 -j ACCEPT

### Regras OUTPUT
$iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Compartilha a conexao
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Fecha o resto
$iptables -A INPUT -p tcp --syn -j DROP

Desde ja agradeço a todos amigos...

m4tri_x
(usa Ubuntu)

Enviado em 23/09/2007 - 16:41h

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.111:777

ve se da certo

luiscarlos
(usa Fedora)

Enviado em 23/09/2007 - 18:10h

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.111
$iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source 192.168.1.250

antonioleite
(usa Debian)

Enviado em 23/09/2007 - 18:22h

Estarei testando amanhã e reporto aqui para vocês se deu certo ou não, brigadão a todos (m4tri_x e luis0101)pela grande ajuda... e VIVA O LINUX

antonioleite
(usa Debian)

Enviado em 23/09/2007 - 18:40h

Amigo pelo que eu entendi eu não preciso nem mudar a porta do apache que eu havia mudado para 777 é só mandar se vir de fora pela eth0 vai para 192.168.1.111 e se vir de dentro eth1 vai para o Debian, correto???? Yahoooooo, valew Kamarada.... vou testar amanhã e dou um alô... e VIVA O LINUX

luiscarlos
(usa Fedora)

Enviado em 24/09/2007 - 11:55h

isso mesmo, esta correto seu pensamento, com base na interface de entrada dos pacotes vc diz o destino deles.

Caso vc deseje incrementar esse acesso aos servidor windows, vc pode usar o apache que esta no firewall para fazer proxy, desssa forma, toda requisição que vc fizer ao seu apache que esta no firewall ele direciona para o servidor windows e depois repassa a resposta para o cliente, dessa forma vc nao acessa diretamente o servidor windows como vc faz hj e sim o apache faz a requisição e pra vc e te dá a resposta, proxy em outras palavras.

Isso permite que vc ofereça ssl na conexao quando for acessar o servidor windows.

para implementar isso vc pode procurar pelo recurso de proxy e proxy reverso do apache, já vou te adiantando que vc poderá inserir estas linhas no seu httpd.conf para que isso funcione


ProxyVia On
ProxyRequests Off
ProxyPass /windows http://192.168.1.111
ProxyPassReverse /windows http://192.168.1.111/

Dessa forma, toda vez que vc acessar sua maquina de fora da rede interna, vc acrescenta /windows no endereço ex:
http:xxx.xxx.xxx.xxx/windows
e entao vc estara acessando sua maquina windows, so que na verdade é o apache quem faz a requisição pra vc, vc nao acessa direto, se vc quiser pode usar somente /, dessa forma vc nao precisa colocar http:xxx.xxx.xxx.xxx/windows e sim apenas http:xxx.xxx.xxx.xxx
qualquer duvida posta ai que ajudamos, abraços!

antonioleite
(usa Debian)

Enviado em 24/09/2007 - 14:22h

luis0101, eu mudei e deixei a porta do apache como 80 mesmo e toda vez que eu entro de fora (189.19.XX.XXX)da rede interna o mesmo manda para o apache (MRTG, SQUID) e se eu mudo a porta do apache da erro de página, será que poderia me ajudar????

Obrigado

luiscarlos
(usa Fedora)

Enviado em 27/09/2007 - 23:28h

tente colocar estas regras no seu firewall

iptables -t nat -A PREROUTING -i <interfaceExterna> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.111
iptables -t nat -A POSTROUTING -o <interfaceInterna> -p tcp --dport 80 -j SNAT --to-source <ip_firewall>
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

ou se vc nao quiser usar regras do firewall para dar aceso ao seu windows, faz um proxy com seu apache como te expliquei no post anterior que funciona tmb e eu particularmente acho mais seguro

antonioleite
(usa Debian)

Enviado em 28/09/2007 - 06:23h

luis0101, funciona perfeitamente agora, valeu pelas dicas ai valeu mesmo pessoal, muito obrigado a todos, essa comunidade é 1000 e VIVA O LINUX

luiscarlos
(usa Fedora)

Enviado em 28/09/2007 - 22:47h

que bom que funcionou, fico feliz em poder ajudar. um abraço e sucesso!

k4mus
(usa Slackware)

Enviado em 11/10/2007 - 12:19h

Vlw luis0101, ..eu tava com esse mesmo problema, e sua dica funcionou blz.

abraço

snakerj
(usa Ubuntu)

Enviado em 30/04/2008 - 18:53h

ola, vi esse forum
e estou com um problema muito parecido
vcs poderiao me ajudar?