Liberar porta FORWARD no iptables [RESOLVIDO]

13. Re: Liberar porta FORWARD no iptables [RESOLVIDO]

cleber
clesousa

(usa Outra)

Enviado em 14/01/2014 - 20:06h

Souzacarlos, vlw pela ajuda.. Mas ainda continua bem instável cara.. Consegui liberar o ultravnc porem só pra uma maquina.. Repeti as regras para outras maquinas e não deu certo, fora q mesmo a maquina q "deu certo" estava bem instável.. Do nada parava de funcionar.. Amanha vou mexer novamente. Agradeço a ajuda! Boa noite.


  


14. Re: Liberar porta FORWARD no iptables [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 14/01/2014 - 20:22h

souzacarlos escreveu:

Buckminster boa tarde, ele já estava com essas regras criadas e mesmo assim não estava funcionando, fui eu quem pediu pra ele remover e refazer do zero. Pelo o que ele tá relatando acho que está indo.


Buckminster escreveu:

# OCS
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 192.168.0.230:8080
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 8080 -j DNAT --to 192.168.0.230:8080


# DVR
iptables -A FORWARD -p tcp --sport 16000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 16000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to 192.168.0.10:16000
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 16000 -j DNAT --to 192.168.0.10:16000

Nesses casos sempre libere na ida e na volta.

E coloque as políticas padrões nessa posição:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Essas regras abaixo pode comentar:

iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 16000 -j ACCEPT

# Liberando OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Liberando CAMERA 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT




Mostra no script dele onde estão as regras que eu postei.


15. Re: Liberar porta FORWARD no iptables [RESOLVIDO]

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 15/01/2014 - 00:37h

Buckminster boa noite, não sei se ele incluiu, pelo que entendi as dele estão ok, inclusive ele tem outras regras que dependem de retorno e está indo sem problemas, pelo o que consegui entender depois de falar com ele pelo skype é que existe uma porta para acesso a gerencia de um DVR ao qual ele não tem acesso, é justamente na configuração deste equipamento que ele precisa mexer.

Buckminster escreveu:

souzacarlos escreveu:

Buckminster boa tarde, ele já estava com essas regras criadas e mesmo assim não estava funcionando, fui eu quem pediu pra ele remover e refazer do zero. Pelo o que ele tá relatando acho que está indo.


Buckminster escreveu:

# OCS
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 192.168.0.230:8080
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 8080 -j DNAT --to 192.168.0.230:8080


# DVR
iptables -A FORWARD -p tcp --sport 16000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 16000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to 192.168.0.10:16000
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 16000 -j DNAT --to 192.168.0.10:16000

Nesses casos sempre libere na ida e na volta.

E coloque as políticas padrões nessa posição:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Essas regras abaixo pode comentar:

iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 16000 -j ACCEPT

# Liberando OCS
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Liberando CAMERA 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT




Mostra no script dele onde estão as regras que eu postei.





16. Re: Liberar porta FORWARD no iptables [RESOLVIDO]

cleber
clesousa

(usa Outra)

Enviado em 15/01/2014 - 14:07h

Buckmister segue meu script de firewall:

# eth0 = local
# eth1 = publica
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

## Libera a rede localmente, para a própria máquina (LOOPBACK) ########################
#iptables -A INPUT -i lo -j ACCEPT
#### Agora a regra para estabelecer a conexão com a internet para a rede/Servidor ##########
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# OCS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230:8080
iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 192.168.0.230 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# CAM 02
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 15000 -j DNAT --to-dest 192.168.0.10:15000
iptables -A FORWARD -p tcp -i eth0 --dport 15000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 15000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p tcp --sport 15000 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp --sport 15000 -s 192.168.0.10 -j ACCEPT

# CAM 01
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10:16000
iptables -A FORWARD -p tcp -i eth0 --dport 16000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 16000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p tcp --sport 16000 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp --sport 16000 -s 192.168.0.10 -j ACCEPT

# CAM 03
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 17000 -j DNAT --to-dest 192.168.0.10:17000
iptables -A FORWARD -p tcp -i eth0 --dport 17000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 17000 -d 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p tcp --sport 17000 -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -p udp --sport 17000 -s 192.168.0.10 -j ACCEPT

# VNC Thiago
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5501 -j DNAT --to-dest 192.168.0.171:5501
iptables -A FORWARD -p tcp -i eth0 --dport 5501 -d 192.168.0.171 -j ACCEPT

# VNC Renato
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5500 -j DNAT --to-dest 192.168.0.170:5500
iptables -A FORWARD -p tcp -i eth0 --dport 5500 -d 192.168.0.170 -j ACCEPT

# VNC Cléio
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5502 -j DNAT --to-dest 192.168.0.172:5502
iptables -A FORWARD -p tcp -i eth0 --dport 5502 -d 192.168.0.172 -j ACCEPT

#############################################################


A questão das câmeras meio que resolvi, só preciso confirmar duas portas "15000 e 17000" pra ver se está certo, porém a 16000 está acessível de fora da empresa.
O que estava pegando ontem, que até nosso amigo souzacarlos me ajudou, foi que só consegui liberar uma das portas referente ao ultravnc que usamos, que se refere ao "# vnc thiago no script" como pode ver as outras regras estão iguais e não funcionam, fora que a única que funcionou está bem instavel, funciona e depois parece ter um delay.


17. resolvido

cleber
clesousa

(usa Outra)

Enviado em 16/01/2014 - 08:20h

Pessoal, descobri o problema no script, estava na declaração das "ethx" estava invertendo eth0 e eth1.
Agora está tudo ok, vlw pela ajuda e atenção de todos!


18. Re: Liberar porta FORWARD no iptables [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 16/01/2014 - 13:57h

clesousa escreveu:

Pessoal, descobri o problema no script, estava na declaração das "ethx" estava invertendo eth0 e eth1.
Agora está tudo ok, vlw pela ajuda e atenção de todos!


De nada.



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts