Direcionar portas para outro Computador

PedroSP
(usa Conectiva)

Enviado em 27/07/2007 - 15:27h

Valeu por mais essa, só agora desocupei para testar essa configuração.....

Vou fazer ela agora e retorno para falar o q obtive....


Por enqto agradeço a ajuda de todos..

DondaJr
(usa Debian)

Enviado em 27/07/2007 - 15:56h

verdade.. esqueci de mencionar isso..

valw! ai

PedroSP
(usa Conectiva)

Enviado em 30/07/2007 - 15:04h

Pessoal, agradeço as dicas, mas ainda não está rodando. Vamos ver se conseguem ver se estou fazendo errado.

No Micro com Coyote e Internet..

=> Fui na linha de comando e digitei as seguites linhas.

##
iptables -A PREROUTING -t nat -p tcp -d 192.171.1200 -j DNAT --to 192.171.1.103:3128

##
iptables -A FORWARD -s 192.171.1.103 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.171.1.200 -p tcp --dport 80 -j DNAT --to 192.171.1.103:3128

##
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

## OBS: eth0 - Rede local




No Micro com Conectiva e o Squid rodando..
=> Fui na linha de comando e digitei as seguites linhas.

####
iptables -t nat -N SquidControl
iptables -t nat -A SquidControl PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

## OBS: nessa parte deu um erro, ele escreveu na linha de comando => Bad Argument 'PREROUTING'
Ai eu tirei a palavra SquidControl e não deu erro.

###
iptables -t nat -N SquidClass
iptables -t nat -A SquidClass -s 192.171.1.0/24 -j SquidControl
###
iptables -t nat -A PREROUTING -j SquidClass
###
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT

### FIM ##



O restante não deu erro.
Ai recarreguei as regras do firewall do lado coyote, no conectiva não sei fazer isso.

Esses foram os passos q tomei.

Em qual deles está errado, e como eu deveria fazer então.?

Agradeço a colaboração de todos....

juno
(usa Linux Mint)

Enviado em 30/07/2007 - 15:14h

Cara
Vamos fazer um teste:
Se você colocar alguma máquina para navegar através do proxy (squid) funciona ?

PedroSP
(usa Conectiva)

Enviado em 30/07/2007 - 15:40h

Olá.
Respondendo sua pergunta.

Se eu configurar qualquer máquina da rede com o Ip da Máquina q tem o Squid instalado, as regras funcionam perfeitamente, sem problemas. Eu não gostaria de fazer isso máquina por máquina pois tem usuarios com um certo nível de conhecimento aqui na empresa.

Por esse motivo é que eu precisaria que as informações recebidas pela máquina Coyote que é o servidor de internet, direcionace para o Conectiva com o Squid instalado....

Qualquer coisa q fizesse a internet passar pelas regras do Squid estaria de bom tamanho...

Agradeço e aguardo.

DondaJr
(usa Debian)

Enviado em 30/07/2007 - 17:02h

acho que não tah funcionando por causa das regras SquidControl e SquidClass..

Aqui eu criei para um controle melhor..

faz assim no conectiva

iptables -t nat -A POSTROUTING -s <IPcoyote> -j SNAT --to <IPconectiva>

iptables -t nat -A PREROUTING -s <IPCoyote> -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

##obs:: lá no coyote vc tah redirecionando já pra porta 3128.. então acho q não é necessario essa regra ai, mass...


meu mail é andersondonda@gmail.com caso precise de mais ajuda

PedroSP
(usa Conectiva)

Enviado em 31/07/2007 - 07:55h

Olá pessoal, as coisas não andam caminhando muito bem aqui. Acabei configurando pelo menos as máquina do departamento de vendas manualmente.
Meus últimos procedimentos foram esses descritos abaixo.

=> Micro Coyote com Internet - IP 192.171.1.200

=> Liguei o Servidor Coyote com as regras normais dele, ai fui no micro e a internet está OK.
=> Ai fui na linha de comando do Coyote e digitei iptables -F ( Para apagar todas as regras )
=> Ainda na linha de comando digitei na sequencia:
=> iptables -A PREROUTING -t nat -p tcp -d 192.171.1200 -j DNAT --to 192.171.1.103:3128
=> iptables -A FORWARD -s 192.171.1.103 -j ACCEPT
=> iptables -t nat -A PREROUTING -s 192.171.1.200 -p tcp --dport 80 -j DNAT --to 192.171.1.103:3128
=> iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE



## OBS: eth0 - Rede local


Ai fui na Conectiva q roda o Squid com as regras já funcionado e digitei.

=> Parei o serviço do Squid
=> iptables -F
=> iptables -t nat -A POSTROUTING -s 192.171.1.200 -j SNAT --to 192.171.1.103
=> iptables -t nat -A PREROUTING -s 192.171.1.200 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
=> Reiniciei o serviço do Squid.

Minha dúvida é a seguinte.
=> Como não tinham regras antes, as máquina eram configuradas no serviço de Redes na opção Protocolo TCP/IP com os seguintes dados

Endereço IP da Máquina 192.171.1.X
Mascara de Sub-Rede 255.255.255.0
Gateway padrão 192.171.1.200 (IP Coyote)

Servidor DNS preferencial 192.171.1.200 (IP Coyote)


=> Embora eu tenha feito o teste mudando o Gateway e o Servidor DNS para o endereço do Conectiva ( 192.171.1.103 ), isso tem q ser feito depois mesmo? Ou as máquina podem continuar com o endereço da Máquina do Coyote e o Conectiva ira bloquear as páginas do mesmo jeito?

=> Apenas lembro q fiz o teste das regras do iptables como as 2 opções, sem mudar o gateway e o DNS e mudando ambos para o servidor 192.171.1.103.

=> Sem mudar essas opções tem a navegação normal, só que não funciona as regras.
=> Se mudar, não tem acesso a internet.


Fico na esperança de conseguir solucionar isso o mais rápido possível.

Até mais gente.

DondaJr
(usa Debian)

Enviado em 31/07/2007 - 15:08h

me faz um favor..

quais são essas regras normais que vc disse do coyote?

e outra.. vamo tentar assim:

Micro Coyote:

#Limpa todas as regras
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

#Faz o redirecionamento de pacotes
iptables -A PREROUTING -t nat -p tcp -d <IPCoyote> --dport 80 -j DNAT --to 10.0.0.55:80
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Obs: eth0 -- rede local


Maquina com squid

iptables -A POSTROUTING -t nat -s <IPCoyote> -o eth1 -j SNAT --to <IP com a internet>

iptables -t nat -A PREROUTING -p tcp -s <Ip Coyote> -i eth0 --dport 80 -j REDIRECT --to-port 3128

Obs2: Lembrando que seu gateway tem q seer o coyote e não o conectiva!!!

PedroSP
(usa Conectiva)

Enviado em 31/07/2007 - 16:51h

Sobre as regras normais, são as regrasq já estavam configuradas antes deu assumir aqui o CPD da empresa.
Não sei se é aqui q eu vejo as regras ativas, mas fiz o seguite.
=> Entrei no WEBADMIn do Coyote e fui na Opção "Ferramentas de Diagnóstico"..
=> Ai fui nas opções:
- Regras Ativas do Firewall
- Regras Ativas do Firewall - nat
- Regras Ativas do Firewall - mangle

Abixo listo o que está escrito em cada uma delas:

########## Regras Ativas do Firewall
Chain INPUT (policy ACCEPT)
target prot opt source destination
remote-admin all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 state NEW

Chain FORWARD (policy ACCEPT)
target prot opt source destination
access-acl all -- 0.0.0.0/0 0.0.0.0/0
autofw-acl all -- 0.0.0.0/0 0.0.0.0/0
portfw-acl all -- 0.0.0.0/0 0.0.0.0/0
user-filter all -- 0.0.0.0/0 0.0.0.0/0
port-filter all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 state NEW

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain access-acl (1 references)
target prot opt source destination

Chain autofw-acl (1 references)
target prot opt source destination

Chain port-filter (1 references)
target prot opt source destination

Chain portfw-acl (1 references)
target prot opt source destination

Chain remote-admin (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:22

Chain user-filter (1 references)
target prot opt source destination






######### Regras Ativas do Firewall - nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
nat-acl all -- 0.0.0.0/0 0.0.0.0/0
dns-preroute all -- 0.0.0.0/0 0.0.0.0/0
auto-forward all -- 0.0.0.0/0 0.0.0.0/0
port-forward all -- 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.171.1.0/24 0.0.0.0/0
dns-postroute all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain auto-forward (1 references)
target prot opt source destination

Chain dns-postroute (1 references)
target prot opt source destination

Chain dns-preroute (1 references)
target prot opt source destination

Chain nat-acl (1 references)
target prot opt source destination

Chain port-forward (1 references)
target prot opt source destination






########## - Regras Ativas do Firewall - mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
MARK all -- 192.171.1.0/24 0.0.0.0/0 MARK set 0xff

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination





Vou testaressasua nova dica e retorno para falar o resultado.
Caso precisem de alguma informação extra, me pergunte.

Até mais.