Usuários só conseguem acessar mysql externo via NAT

philippeliso
(usa Ubuntu)

Enviado em 25/07/2012 - 15:15h

Seguinte galera, estou tendo um problema chato que passou a acontecer ou foi notado de uns tempos para ca.....

Tenho um servidor Linux que é meu Gateway de internet, firewall, proxy squid e mais alguns serviços.

A maioria dos usuários estão conectados ao proxy, pois este só mapeia a porta 80, é proxy transparente....

O Problema:

Esses usuários que estão no proxy precisam acessar constantemente hosts mysql (3306) externos de clientes e se eu não adicionar este usuário em minha regra de NAT, o mesmo não consegue acessar o host mysql do cliente, colocando a regra NAT ele acessa normal, porem por estar diretamente na internet ele nao passa pelo filtro do Squid, podendo o usuario navegar livremente na internet, o que nao queremos.

Por Exemplo:

Usuário Gustavo - 192.168.0.165

Regra NAT que resolve o problema, porem tira o usuario do proxy squid:

iptables -t nat -A PREROUTING -s 192.168.0.165 -d 0.0.0.0/0 -j ACCEPT

Apos colocar isso no meu arquivo firewall, o Gustavo consegue acessar o banco dos clientes, porem fica com a internet totalmente liberada.


Minha regra padrao para direcionar o travego da porta 80 para squid
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128


Sera que alguem tem ideia do q possa estar travando esse acesso dos usuario ao mysql dos clientes?

OBS: Com outras portas, tipo ssh(22) o usuario acessa normal, nao ocorre o problema.

removido
(usa Nenhuma)

Enviado em 25/07/2012 - 15:35h

Você está liberando o acesso da sua rede para fora. Libera o acesso, somente do domínio externo para sua rede, ou para algumas maquinas.

Ex:

IPT=`which iptables`

REDE=192.168.0.0/24

IPDOMINIO=201.20.37.73

$IPT -A FORWARD -p ALL -s $REDE -d $IPDOMINIO -j ACCEPT

$IPT -A FORWARD -p ALL -s $IPDOMINIO-d $REDE -j ACCEPT

$IPT -t nat -A POSTROUTING -p tcp -s $REDE -d $IPDOMINIO -j MASQUERADE 

renato_pacheco
(usa Debian)

Enviado em 25/07/2012 - 15:35h

Provavelmente vc pode ter bloqueios diretos na cadeia FORWARD a essa porta. Não há a necessidade d criar regras NAT pra esse propósito. Como tão as regras do seu firewall?

philippeliso
(usa Ubuntu)

Enviado em 25/07/2012 - 15:56h

Amigos me desculpem......tava vasculhando meu Firewall com mais calma e encontrei o problema....

Eu estava liberando o acesso externo de dois mysql com a mesma porta 3306 para ips diferentes.....

Apos comentar uma das regras o problema estranho parou.....


foi descuido meu.....vou colocar esses mysqls internos que precisam ser acessados de fora com portas diferentes...



Mto obrigado, desculpe galera