Redirecionamento IPTables CentOS

Marrabel
(usa CentOS)

Enviado em 05/11/2012 - 08:17h

Olá pessoal Bom dia!

Estou tentando fazer um redirecionamento mas não está dando certo, eu preciso atraves de uma máquina cliente acessar um servidor de banco de dados interno passando pelo firewall e o mesmo retornar a máquina cliente com os devidos dados. Já tentei fazer tutoriais na internet, youtube e nada funcionou.

Minha última tentativa foi :

#iptables -t nat -A PREROUTING - p tcp -m tcp --dport 1433 -j DNAT --to-destination (ip do servidor do BD)
#iptables -A FORWARD -s (ip do servidor do BD:1433) -j ACCEPT
#iptables -A FORWARD -d (ip do servidor do BD:1433) -j ACCEPT

Estou usando o SQL para fazer os testes.

Eu esqueci alguma coisa?
Como eu faço para verificar se as regras deram certo ou se realmente foi redirecionado?

Obrigado desde já!

phrich
(usa Slackware)

Enviado em 05/11/2012 - 09:36h

Segue:

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede/

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 11:03h

Atualizando...
Eu fiz a seguinte mudança:

echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
#iptables -t nat -A PREROUTING -i (IP do firewall) -p tcp --dport 1433 -j DNAT --to-destination (IP do Servidor de BD):1433
#iptables -A FORWARD -p tcp -i (IP do firewall) --dport 1433 -d (IP do servidor de BD) -j ACCEPT
#iptables -t nat -A POSTROUTING -o (IP do firewall) -p tcp --dport 1433 -j MASQUERADE

Está retornando 2 erros:

BAD argument 'tcp'
BAD argument '1433'

Aonde eu errei? Como eu verifico com detalhes os erros gerados?

Obrigado desde já!

phrich
(usa Slackware)

Enviado em 06/11/2012 - 11:08h

Os parâmetros -i (input) e -o (output) são utilizados para interfaces (eth0, eth1...) e os parâmetros -s (source) e -d (destination) que são utilizados para definir origem e destino (IPs), por isso está dando o erro.

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 11:17h

Ah desculpe, eu coloquei errado no exemplo mesmo. No caso o IP do firewall está numa interface de rede e esta interface já está nas regras.

Sabe se tem algum outro erro além deste? Preciso colocar a mascara no IP do Servidor de BD?

phrich
(usa Slackware)

Enviado em 06/11/2012 - 11:18h

Coloque como ficaram suas regras...

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 11:20h

echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
#iptables -t nat -A PREROUTING -i $InterfaceFirewall -p tcp --dport 1433 -j DNAT --to-destination 10.x.x.x:1433
#iptables -A FORWARD -p tcp -i $InterfaceFirewall --dport 1433 -d 10.x.x.x -j ACCEPT
#iptables -t nat -A POSTROUTING -o $InterfaceFirewall -p tcp --dport 1433 -j MASQUERADE

phrich
(usa Slackware)

Enviado em 06/11/2012 - 11:24h

Estas regras estão dentro de algum script?

Vc limpa as regras antes de aplicá-las novamente?

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 11:27h

Estão em um script sim. Não tenho certeza se faz esta limpeza, vou ter que verificar...

Mas os erros que mencionei (BAD argument 'tcp' e BAD argument '1433') podem ter algo a ver com isso?

phrich
(usa Slackware)

Enviado em 06/11/2012 - 11:28h

acrescente ao início do seu script as linhas:

iptables -F
iptables -t nat -F

Rode o script novamente, se apresentar erro, rode com o script da seguinte maneira:

bash -x /caminho/script

E veja em qual linha ele está lhe dando o erro...

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 11:51h

Vou verificar se as regras que mencionou existem e colocarei o comando que você enviou. Obrigado por enquanto!

Marrabel
(usa CentOS)

Enviado em 06/11/2012 - 14:13h

Bom, eu chequei as regras e tem ela sim. Eu notei que tinha um "-dport" nas regras. Arrumei colocando "--dport" só que agora acusa outro erro:

"-p" aliases
"forward chain"

As regras são as mesmas que as acima.