Liberar porta 3306

suporteejm
(usa Debian)

Enviado em 19/06/2012 - 11:21h

Olá, sou novo na comunidade e gostaria de uma ajuda:

Tenho um servidor debian rodando com squid e iptables. Todas a rede e internet estão funcionando perfeitamente com as devidas restrições. Porém, utilizando a conexão pelo proxy, não consigo acessar um banco de dados mysql que está hospedado em um servidor web. Estou utilizando mysql administrator colocando ip 74.53.x.x porta 3306, usuario root e a senha correta.
Existe alguma regra que posso colocar no iptables ou acl no squid que permita acesso ao servidor web na porta em questão?

ps. fiz um teste conectando com velox/vivo/tim fora do proxy e o acesso está normal.

Desde já agradeço!

Nanatinho
(usa Debian)

Enviado em 19/06/2012 - 12:48h

Boa tarde.

Insira a regra abaixo no seu Firewall.

iptables -A FORWARD -s ORIGEM -d DESTINO -p tcp --dport 3306 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d ORIGEM -s DESTINO -p tcp --sport 3306 -m state --state ,ESTABLISHED,RELATED -j ACCEPT


Abraço e fique com DEUS!!!

suporteejm
(usa Debian)

Enviado em 19/06/2012 - 13:47h

Minha rede está configurada assim:
eth0 - internet com ip válido
eth1 - rede interna 192.168.1.0 com range até 192.168.1.255 no caso da regra acima ORIGEM=192.168.1.0/24 e destino é o IP do servidor web onde está meu banco de dados?

suporteejm
(usa Debian)

Enviado em 20/06/2012 - 11:53h

Nanatinho, blz? Cara não funcionou com essas regras. Mas quando conecto em outra net fora do proxy rola na boa.
O que mais você acha que pode ser?
Vlw

Nanatinho
(usa Debian)

Enviado em 20/06/2012 - 12:40h

Na tabela NAT já existe o nat para a rede?

Pois a regra é aquela mesmo.

Acredito que esteja faltando o NAT


Poste o restultado do comando abaixo:

iptables -L -nv -t nat


Outra coisa é verificar se o encaminhamento de está ativo. Para verificar digite:
cat /proc/sys/net/ipv4/ip_forward

Se o resultado for "1" está ativado.

Se não for coloque no teu script do firewall:
echo "1" > /proc/sys/net/ipv4/ip_forward



Abraço e fique com DEUS!!!

diegogyn
(usa CentOS)

Enviado em 20/06/2012 - 14:49h

cara, tenta se com essa regra vai

iptables -A FORWARD -s ip de origem -p protocolo --dport -j ACCEPT
iptables -A FORWARD -s íp de origem -p protocolo --sport -j ACCEPT

suporteejm
(usa Debian)

Enviado em 20/06/2012 - 18:18h

Resultado do comando iptables -L -nv -t nat

Chain PREROUTING (policy ACCEPT 75567 packets, 4794K bytes)
pkts bytes target prot opt in out source destination
2297 133K REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 4447K packets, 267M bytes)
pkts bytes target prot opt in out source destination
462 117K MASQUERADE all -- * eth1 192.168.1.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 4443K packets, 267M bytes)
pkts bytes target prot opt in out source destination

Nanatinho
(usa Debian)

Enviado em 21/06/2012 - 12:43h

Chain POSTROUTING (policy ACCEPT 4447K packets, 267M bytes)
pkts bytes target prot opt in out source destination
462 117K MASQUERADE all -- * eth1 192.168.1.0/24 0.0.0.0/0

Minha rede está configurada assim:
eth0 - internet com ip válido
eth1 - rede interna 192.168.1.0 com range até 192.168.1.255 no caso da regra acima ORIGEM=192.168.1.0/24 e destino é o IP do servidor web onde está meu banco de dados?


Bom, de acordo com Suas informações, este MASQUERADE está informando a interface errada, onde a eth1 deve ser substituído pela eth0, que é a interface de saída para a Internet.


Abraço e fique com DEUS!!!

Nanatinho
(usa Debian)

Enviado em 21/06/2012 - 12:49h

Para facilitar meu próprio entendimento, eu sempre utilizo assim as regras de NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to 200.200.200.200

onde:

-o -> Interface de saída, neste caso Internet
-s -> Origem
200.200.200.200 -> Deve ser substitúido pelo IP da sua interface ligada à Internet.


Abraço e fique com DEUS!!!