Liberando serviços no IP Tables
1. Liberando serviços no IP Tables
removido
(usa Nenhuma)
Enviado em 07/03/2011 - 01:57h
Olá,Configurei vários serviços em máquinas virtuais para estudo.
Os serviços de DNS, WEB(hhtp e https), FTP (ainda vou fazer outros), estão configurados mas preciso liberar acesso através do firewall iptables e estou com alguns problemas para fazer isso.
é meio estranho mas preferi subir uma máquina para cada serviço q a rede oferece. Uma para o firewall, outra para ftp, outra para dns e etc. Achei que assim seria mais fácil o entendimento da DMZ e mais fácil descobrir eventuais problemas.
Se alguém tiver conhecimento e puder ajudar seria bem útil.
Vou postar aqui as configurações que fiz e as regras que coloquei mas não funcionaram
O Firewall IP Tables é a máquina gateway da rede e está configurada assim
eth0 IP 172.16.10.1/16 - BRIDGE COM OS SERVIDORES
eth1 IP 192.168.10.1/24 - COLOQUEI BRIDGE MAS APENAS PARA OS CLIENTES (Não coloquei Host-Only porque existe máquinas virtuais clientes em outro computador)
O servidor DNS possui apenas uma interface habilitada e está assim
eth0 IP 172.16.10.2/16 - BRIDGE COM OS SERVIDORES
gateway 172.16.10.1
O servidor WEB (http e https) possui apenas uma interface habilitada e está assim
eth0 IP 172.16.10.3/16 - BRIDGE COM OS SERVIDORES
gateway 172.16.10.1
Os clientes da rede 192.168.10.0/24 estão configurados da seguinte forma:
IP 192.168.10.X/24
GATEWAY 192.168.10.1
DNS 172.16.10.2
Com as regras do IP Tables desabilitadas e todas a Chains com ACCEPT, tudo funciona, o cliente consegue resolver nomes dns, acessar a web interna e etc.
Achei melhor bloquear tudo e liberar só o que for preciso (SE ALGUÉM TIVER IDÉIAS MELHORES SOBRE ISSO POR FAVOR POSTEM) então coloquei
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Então enquanto não fizer as regras certas nada funciona na rede
Liberei o ping da rede 192.168.10.0/24 para a interface interna do firewall 192.168.10.1 e isso está ok:
iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.1 -p icmp -j ACCEPT
iptables -A OUTPUT -s 192.168.10.1 -d 192.168.10.0/24 -p icmp -j ACCEPT
Agora preciso liberar o dns para que os clientes possam fazer requisições dns e também que o servidor de web possa fazer requisições dns se for necessário
Inseri as seguintes regras no ip tables mas sem sucesso (já exclui também)
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -d 172.16.10.2/32 -i eth1 -p tcp --dport 53 -j DNAT --to-destination 172.16.10.2
iptables -A FORWARD -s 172.16.10.2/32 -d 192.168.10.0/24 -o eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 172.16.10.2/32 -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 172.16.10.2/32 -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.16.10.2/32 -d 192.168.10.0/24 -o eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 172.16.10.2/32 -d 192.168.10.0/24 -o eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 172.16.10.2/32 -o eth0 -p tcp --dport 1025:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 172.16.10.2/32 -o eth0 -p udp --dport 1025:65535 -j ACCEPT
Aproveitando, gostaria de entender qual tabela e chain é melhor nesse caso, Tabela Filter com a Chain FORWARD ou a NAT com a Chain PREROUTING (essa PREROUTING ainda não entendo muito bem o conceito)
Espero que tenho entendido!
Obrigado
Rodrigo
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
