Pular para o conteúdo
netfilter/iptables em Firewall

DROP

Responder tópico
  • Denunciar
  • Indicar

1. DROP

Enviado em 29/03/2010 - 09:40h

Salve galera....

Uso esta regra para travar td na rede
$IPTABLES -I FORWARD -s $NT_LAN -j DROP

então vou liberando confirme necessidade tipo:

$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 110 -j ACCEPT
$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 25 -j ACCEPT

Agora preciso fazer uma regra de nat com:

$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 3389 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -p tcp -i $IF_LINK --dport 3389 -j DNAT --to 192.168.0.252:3389

Meu problema é que o nat não funciona, somente se eu liberar comentar o:
###$IPTABLES -I FORWARD -s $NT_LAN -j DROP

Alguém poderia me dar uma dica?
Fico no aguardo

Responder tópico

2. Re: DROP

Enviado em 29/03/2010 - 09:56h

Inverte as ordens dos comandos.
Deve ficar assim:

$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 3389 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -p tcp -i $IF_LINK --dport 3389 -j DNAT --to 192.168.0.252:3389

$IPTABLES -I FORWARD -s $NT_LAN -j DROP

$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 110 -j ACCEPT
$IPTABLES -I FORWARD -s $NT_LAN -p tcp --dport 25 -j ACCEPT

3. então..

Enviado em 29/03/2010 - 10:15h

Olá.. já fiz isso mas mesmo invertendo não funciona....

Alguma outra dica?

4. Re: DROP

Enviado em 29/03/2010 - 10:39h

Então tenta mudar a regra da nat para algo do tipo:
iptables -t nat -A PREROUTING -m tcp -p tcp -i $IF_LINK --dport 3389 -j DNAT --to-destination 192.168.0.252

5. então...

Enviado em 29/03/2010 - 11:12h

Obrigado pelas dicas...
fiz isso e tbm não rolou... porém se liberar a regra...

$IPTABLES -I FORWARD -s $NT_LAN -j DROP

funciona....

6. Re: DROP

Enviado em 10/04/2010 - 05:21h

#Para dropar a Policy Forward use o comando a baixo, e mais pratico
#DROP todo o Forward
iptables -P FORWARD DROP

#Liberando no Forward a porta do TS
iptables -A FORWARD -d $NT_LAN -p tcp --dport 3389 -j ACCEPT

#Fazendo Nat para maquina que roda o TS
iptables -t nat -A PREROUTING -i $IF_LINK -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.252


Seguinte, atente-se para a seguinte questão
-d "destino"
-s "origem"
-A "Adiciona a regra"
-I "Adiciona a regra ao topo da lista"

Se você que direcionar, então tudo o que vinher da Internet com DESTINO a porta TAL vai pra o IP TAL

Outra coisa, se você usar com o " -I " para adicionar as regras, elas poderam não funcionar corretamente.

Creio que funcione perfeitamente, dependendo do valor de suas variaveis

Responder tópico

Responder tópico

Entre na sua conta para responder.

Fazer login para responder