Liberar porta FORWARD no iptables [RESOLVIDO]

clesousa
(usa Outra)

Enviado em 14/01/2014 - 13:13h

Pessoal, boa tarde!

Estou "tentando" montando um firewall com iptables e estou tendo dificuldade para liberar algumas portas.
Segue cenário:

router virtua IP: 10.0.0.1 / não está como bridge.
Servidor firewall com duas placas de rede:

Eth0: Local - conectada em um switch.
Eth1: Internet - Conectada diretamente no modem/roteador do virtua

eth0 IP: 192.168.0.210
eth1 IP: 10.0.0.10

Script firewall - É algo bem simples.

modprobe iptable_nat
#LIMPAR REGRAS EXISTENTES
iptables -F
iptables -t nat -F

# eth0 = local
# eth1 = pública

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD


#Para compartilhar uma conexão via ADSL (speedy) ou cabo direto (NET virtua) instalada na ethx:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Liberando demais portas usadas TCP/UDP
iptables -A INPUT -p tcp -m multiport --dports 3128,80,21 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 3128,80,21 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 3128,80,21 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 53 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dports 53 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 16000 -j ACCEPT

# Liberando OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Liberando CAMERA 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT
################# fim ####################################

preciso liberar a porta 16000, ip 192.168.0.10 que é um dvr e a porta 8080 ip: 192.168.0.230 que é um servidor com OCS instalado.

Se puderem me ajudar agradeço!

Obs: Lembrando que já abri essas portas no router do virtua direcionando para o ip do servidor : 10.0.0.10 (eth1)

souzacarlos
(usa Outra)

Enviado em 14/01/2014 - 13:32h

Boa tarde, pergunta: teu script tá funcionando? digo o compartilhamento de internet tá ok? caso sim: como está definida tua POLICE default?

aguardo.

clesousa
(usa Outra)

Enviado em 14/01/2014 - 13:35h

Boa tarde Souzacarlos, o compartilhamento está sim, neste servidor também tem um dhcp rodando e quando coloca em produção as máquinas estão acessando a internet normalmente, a politica default está tudo ACCEPT por enquanto, como pode ver no script não estou dropando nada ainda.

clesousa
(usa Outra)

Enviado em 14/01/2014 - 14:21h

Alguém?

stefaniobrunhara
(usa CentOS)

Enviado em 14/01/2014 - 14:31h

Veja neste link eu postei exatamente o que você esta precisando de uma forma simples e fácil.

http://www.vivaolinux.com.br/topico/netfilter-iptables/compartilhar-internet-para-rede-interna-atrav...

souzacarlos
(usa Outra)

Enviado em 14/01/2014 - 14:34h

Cara boa tarde, como vc disse que tua política é ACCEPT uma dica: remove todas essas regras pra testar, inclui só oq vc realmente precisa que são as regras de PREROUTING e POSTROURING

clesousa
(usa Outra)

Enviado em 14/01/2014 - 14:39h

A questão do compartilhamento está ok.

O que pega é que não estou coseguindo liberar determinadas portas.

Gostaria de saber o que estou errando nas regras abaixo.

# Liberando OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Liberando CAMERA 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT

clesousa
(usa Outra)

Enviado em 14/01/2014 - 15:05h

souzacarlos fiz exatamente o que disse, deixei o script desta forma:



# eth0 = local
# eth1 = publica

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward


# OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230:8080
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT
#iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# CAM 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10:16000
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT


E ainda assim as portas continuam fechadas, estou verificando pelo seguinte site, não sei se é confiável: http://www.gwebtools.com.br/scanner-porta

souzacarlos
(usa Outra)

Enviado em 14/01/2014 - 15:34h

Tem skype?

clesousa
(usa Outra)

Enviado em 14/01/2014 - 15:44h

cleio-suporte@hotmail.com

Buckminster
(usa Debian)

Enviado em 14/01/2014 - 15:54h

# OCS
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 192.168.0.230:8080
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 8080 -j DNAT --to 192.168.0.230:8080


# DVR
iptables -A FORWARD -p tcp --sport 16000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 16000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to 192.168.0.10:16000
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 16000 -j DNAT --to 192.168.0.10:16000

Nesses casos sempre libere na ida e na volta.

E coloque as políticas padrões nessa posição:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Essas regras abaixo pode comentar:

iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 16000 -j ACCEPT

# Liberando OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Liberando CAMERA 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT

souzacarlos
(usa Outra)

Enviado em 14/01/2014 - 16:00h

Buckminster boa tarde, ele já estava com essas regras criadas e mesmo assim não estava funcionando, fui eu quem pediu pra ele remover e refazer do zero. Pelo o que ele tá relatando acho que está indo.