Liberando Portas e IP no IPTABLES.

buckminster escreveu:

Tu sabe se já tem um Iptables configurado nessa máquina?

Qual é o sistema operacional dessa máquina onde tu quer configurar o Iptables?

buckminster escreveu:

Tu já tem o Iptables instalado.
Procure no diretório /etc/init.d se tem algum script referente ao Iptables.
Dê uma olhada também dentro do arquivo /etc/rc.local se tem alguma entrada pareceida com essa:

/etc/init.d/nome do script.sh << com ou sem extensão.

#!/bin/bash
echo " Apagando qualquer configuracao do Iptables...............[OK]"
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

echo " Iniciando os modulos NAT FTP PPTP GRE .............[OK]"
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_gre
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Ativando Proxy transparente...........[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo " Liberando conexao VPN Externo...........[OK]"
echo " Aceitando protocolo grep................[OK]"
iptables -A INPUT -j ACCEPT -p gre
iptables -A OUTPUT -j ACCEPT -p gre
iptables -A FORWARD -j ACCEPT -p gre
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

echo " Redirecionando Conexao VPN para 192.168.1.6.............[OK]"
#redirecionamento de conexao VPN vinda de qualquer IP para o 192.168.1.6
iptables -t nat -A PREROUTING -p gre -d 189.19.209.235 -j DNAT --to 192.168.1.6

echo " Liberando portas VPN 47 1723 128.................[OK]"
iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 128 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 128 -j ACCEPT

iptables -A FORWARD -p tcp --dport 47 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 128 -i eth0 -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 128 -j ACCEPT

#Redirecionamento das portas para 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 128 -j DNAT --to 192.168.1.6

echo " CONEXAO REDE EXTERNA para acesso remoto ao servidor via terminal server........[OK]"
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 3389 -j DNAT --to 192.168.1.6
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT

###CONEXAO REDE INTERNA, permite qualquer conexao da rede interna
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT

#Seguranca para a rede
echo " Ativando o IP forward .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Protegendo contra Pings ( ignorando ) .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo " Protegendo contra IP spoofing .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo " Protegendo contra diversos ataques .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo " Protegendo contra bogus responses .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo " Protegendo contra IP synflood .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo " Protegendo contra Pings da Morte .......... [ OK ]"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo " Protegendo contra portscanners, ping of death, ataques DoS, etc. .......... [ OK ]"
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -m state --state INVALID -j DROP
echo " Bloqueando qualquer conex�o que n�o tenha sido permitida acima .......... [ OK ]"
iptables -A INPUT -p tcp --syn -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -p tcp --syn -j DROP
#ignora ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# CONEXAO PORTA CAMERA
#iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9001 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 9001 -i eth0 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9002 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9002 -j DNAT --to-dest 192.168.1.226

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9003 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9003 -j DNAT --to-dest 192.168.1.227

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,9001,9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 80,9001,9002 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9001,9002 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9002 -j DNAT --to-dest 192.168.1.226:9002
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9003 -j DNAT --to-dest 192.168.1.227:9003

# Liberando o INPUT externo para o firewall

#iptables -A FORWARD -i eth0 -p tcp --dport 8082 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9003 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 9003 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 9001 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9003 -j ACCEPT

#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.225 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.226 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.227 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8083 -j DNAT --to-dest 192.168.1.225:8083
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9001 -j DNAT --to-dest 192.168.1.226:8082
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9003 -j DNAT --to-dest 192.168.1.227:80

iptables -I FORWARD -i eth0 -p udp --sport 8081 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 8081 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 9001 -j ACCEPT
iptables -I FORWARD -i eth0 -p udp --sport 9001 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 9001 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 6050 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 6050 -j ACCEPT

iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -I INPUT -i eth0 -p udp --sport 9001 -j ACCEPT

iptables -t nat -I PREROUTING -i eth0 -p udp --sport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --sport 80 -j DNAT --to-dest 192.168.1.227:80
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-dest 192.168.1.227:80

buckminster escreveu:

Sim, esse é o script do Iptables.

Dê permissão de execução:

# chmod +x /etc/init.d/redirecionamento

Coloque a linha abaixo no arquivo /etc/rc.local, antes de 'exit 0', assim:

/etc/init.d/redirecionamento start

exit 0

Salve, saia do arquivo de reinicie a máquina e teste se o script está funcionando.
Desa forma o script irá inicializar junto com o sistema e tu poderá parar, iniciar e reiniciar o Iptables no terminal com:

# /etc/init.d/redirecionamento start | stop ou restart.

A partir de agora qualquer alteração no Iptables tu faz alterando esse arquivo.

Para liberar as portas em questão faça assim:

#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.225 -j ACCEPT <<< para liberar para um IP em específico, descomente (tire o # da frente da linha) e coloque o IP que tu quer. Caso queira IP e porta acrescente a porta assim depois do IP, por exemplo, 192.168.1.225:18004
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.226 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.227 -j ACCEPT

# Liberando as portas
iptables -A FORWARD -i eth0 -p udp --dport 18004 -j ACCEPT << acrescente essas 3 linhas nessa posição.
iptables -A FORWARD -i eth0 -p udp --dport 34567 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 8000 -j ACCEPT

Mas veja bem, fale com o cara lá e veja se precisa liberar as portas somente para o protocolo UDP ou se precisa para o TCP também, daí tu terá que duplicar as linhas somente mudando de udp para tcp.
E verifique se a placa de rede que responde pelo Iptables é mesmo a eth0, se não for, altere para a placa certa.

E tem muita coisa aí no script 'redirecionamento' que talvez tu não vá precisar.
Quem sabe seja melhor tu fazer um bkp desse arquivo e criar um novo do zero com outro nome, somente aproveitando as partes que tu irá precisar.
Dúvidas posta aqui.

leolopez6 escreveu:

lineassis22, como você ainda está aprendendo sobre Iptables, te aconselho a usar a ferramenta gráfica FWBuilder (http://www.fwbuilder.org/4.0/docs/firewall_builder_packages.shtml). Instala essa ferramenta e começa a explorar suas interfaces que por sinal são bem amigáveis. Após a instalação do FWBuilder, abra o aplicativo e veja que aparecerá três opções, sendo que a primeira é "Create new firewall" e depois você escolhe qual o software de firewall deseja usar, no seu caso o iptables. Esse procedimento será feito através de um wizard e o próximo passo será adicionar as interfaces de rede. Faça conforme o seu servidor. Após criar o firewall, veja que aparecerá três módulos(Policy, NAT e Routing) e você deverá começar a fazer as liberações através desses módulos. Lembre-se que antes você deverá criar os objetos (Endereços de Rede e de hosts) e os Serviços(Portas e protocolos).

Para fazer a liberação que você deseja, primeiro libere as portas para o host em questão em "Policy" e depois vá em NAT e faça o redirecionamento conforme necessidade. Depois vá em "Install" insira o ip de destino do firewall, insira também login e senha e conclua a aplicação das regras.

Obs.: Para que você se entenda melhor a sintaxe do iptables, após criar uma regra você pode clicar com o botão direto e compilar a regra e logo ela será exibida abaixo do grid.

Espero ter ajudado em algo.

Leonardo.