Configuração de IPtables

Olá galera,

Preciso de uma ajuda para configurar o IPtables aqui.
Já fiz tudo como se deve fazer e ainda não consegui fazer o MASQUERADE na rede.
Estou usando máquinas virtuais conectadas à máquina base e esta conectada a um roteador conectado a modem ADSL.

Existem algum problema nisso?
O uso do roteador pode bloquear minha NAT?

Vou postar minha configuração aqui caso puderem ajudar

########################################
Configuração da Interface cliente (XP)

IP: 192.168.60.10
Máscara: 255.255.255.0
Gateway: 192.168.60.1

######################################

No Debian o arquivo /etc/network/interfaces está assim:

auto eth0
iface eth0 inet dhcp

iface eth2 inet static
address 192.168.60.1
netmask 255.255.255.0

########################################

O roteamento está ativado no arquivo /etc/sysctl.conf

########################################

O cliente piga as interfaces eth0 e eth2 do debian



Fiz as seguintes regras no iptables mas não funcionaram

iptables -t nat -A POSTROUTING -d 192.168.60.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.60.0/24 -o eth0 -j MASQUERADE


O que está errador?

POr favor alguém me ajude!

Amigo, deixa ver se eu entendi....
vc quer fazer NAT do Linux...
primeiro coloque na maquina virtual o linux em modo bridged ...
depois no linux suba a nat com:
modprobe iptable_nat
iptables -t nat -A POSTROUTING -p tcp --dport(porta) -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
e depois teste...
ah se for speedy, portas como 80, 22, 21(portas baixas) serão bloqueadas

Eu não sei se eraa isso mas qualquer coisa, volte a perguntar...

Cara, cada caso é um caso. Mas meu mascquerade funciona assim:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Soh troca o pp0 pela sua interface de rede local, eth0.

Mas cara,

u uso o speedy não entendi como essas portas são bloqueadas.
Acho q é isso q eu preciso.

Pode ser então q o speedy esteja me atrapalhando
Mas como eu consigo acessar um site (80) ou ssh (22) pela máquina base?
Se puder ajudar
Vlw

Agora entendi o problema,
só não sei ainda como resolver.

Preciso criar no Debian um redirecionamento da porta 80 para a porta XX então tudo o que chegar no Debian pela interface da LAN na porta 80 será redirecionado para a porta XX e tudo que chegar na inetrface de internet do Debian na porta XX deve ser redirecionado para a porta 80 e máquina de destino.

Preciso também criar um redirecionamento de porta no roteador e no modem.

Alguém pode me ajudar com a regra do iptables??

Valeu vou tentar criar os redirecionamentos no modem e roteador!

Flws

Na verdade não... Assim..
o speedy bloqueia as portas baixas para usuarios normais, que não tenham a conta para empresas(não adianta perguntar para qualquer tecnico que ele vão te responder que é problema de NAT)


No apache, no arquivo ports.conf(acho que esse) configure o apache para se comunicar em portas tipo 80800, .....
ai é so fazer NAt e blz...

Então cara, mas eu ainda não estou colocando um web server interno ,

Quero apenas permitir que uma máquina cliente em uma rede 192.168.10.0/24
acesse a internet.

o roteador está oferecendo IPs 192.168.1.0/24 e uma interface do Debian recebe ip dele e tem acesso a net

Entendeu?

Vlws
Rodrigo.

Então deixa eu ver se entendi!!!(to devagar hj)

Seu Roteador está oferecendo IPs 192.168.1.0.... e vc quer coloca-los em 192.168.0.0....??
se for isso, e temo que não seja(peço desculpas)

é so entrar da pagina do roteador e configurar essa opção
deve ser 192.168.1.0


(Desculpa qualquer coisa)

Olá amigo estou colocando uma configuração de iptables, não sei se isso pode te ajudar...
No meu firewall utilizo as placas de rede eht0 e eth1 sempre com ip fixo..

#Variáveis
iptables=/sbin/iptables
IF_EXTERNA=eth0 #Internet
IF_INTERNA=eth1 #Rede Local

#***************
#Ativa Módulos
#***************
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

#Ativa roteamento no kernel
echo "1" > /proc/sys/net/ipv4/ip_forward

#Proteção contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#Limpa Regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

#Determina a política padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#***************
#Tabela Filter
#***************

#Dropa pacotes TCP indesejáveis
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#Dropa pacotes mal formados
iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "
iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP

#Aceita os pacotes que realmente devem entrar
iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#Proteção contra worms
iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT

#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Log tentativa de acesso a determinadas portas
iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "
iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "

#Libera acesso externo a determinadas portas
iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT

#************
#Tabela NAT
#************

#Ativa mascaramento de saída
iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE

#Proxy transparente | No meu caso utilizo tambem o squid, caso voce utilizar tambem favor descomentar a linha
#iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128