Regra de enlace iptables [RESOLVIDO]

1. Regra de enlace iptables [RESOLVIDO]

Daniel Fernandes de Lima
daniel_4fun

(usa Debian)

Enviado em 30/04/2012 - 09:56h

Bom dia galera do VOL, to tentando implementar uma regra de enlance da seguinte maneira, a poucos dias foi instalada uma central de alarmes por tras do fw, colocamos o ip 10.1.100.9 nela e ela trabalha na porta 9019, ela precisa ficar enviando pacotes minimos, alguns bits, em certo intervalo de tempo, resolve utilizar a regra a seguir, que a principio funcionou sem problemas, e agora nao esta mais funcionando...

IP1 = ip do servidor que recebe os pacotes, mas este servidor tbm envia requisições, ou seja, vai precisar entrar informações desse ip na minha rede com destino a central de alarmes...

10.1.100.9 = central de alarmes...

segue a regra, se alguem puder dar uma ajuda, agradeço, ja testei algumas regras e nenhuma me serviu, os dois ips precisam se comunicar o tempo todo ...

$IPT -t nat -A PREROUTING -s IP1 -p tcp -d eth0 -j DNAT --to 10.1.100.9:9019
$IPT -t nat -A POSTROUTING -d 0/0 -s 10.1.100.9 -j SNAT --to IP1
$IPT -A FORWARD -d 10.1.100.9 -p tcp --dport 9019 -j ACCEPT
$IPT -A FORWARD -s 10.1.100.9 -p tcp --dport 9019 -j ACCEPT




  


2. MELHOR RESPOSTA

Perfil removido
removido

(usa Nenhuma)

Enviado em 01/05/2012 - 13:10h

Após analise no meu ver as regras parecem estar corretas, a primeira regra faz o PAT do ip publico para o ip dentro da rede local, a segunda faz o NAT do ip do servidor na rede local para o mundo externo. E a terceira e quarta libera trafego de repasse de pacotes para a porta tcp 9019 com origem e destino ao ip 10.1.100.9

Mas depende em qual posição do script em que elas se encontram pois, no caso se houver alguma regra acima delas negando o trafego nas cadeias FORWARD OU PREROUTING não ira funcionar.


PARA TESTAR SE ESTE E O PROBLEMA MUDE AS REGRAS COLOCANDO O –I AO INVEZ DE –A DESTA FORMA ESTA REGRAS SERÃO PROCESSADAS PRIMEIRAMENTE NA CADEIA IDENPENDENTE ONDE ELAS ESTIVEREM NO SCRIPT.

$IPT -t nat -I PREROUTING -s IP1 -p tcp -d eth0 -m state --state NEW,RELATED,ESTABLISHED -j DNAT --to 10.1.100.9:9019
$IPT -t nat -I POSTROUTING -d 0/0 -s 10.1.100.9 -m state --state NEW,RELATED,ESTABLISHED -j SNAT --to IP1
$IPT –t filter -I FORWARD -d 10.1.100.9 -p tcp --dport 9019 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT –t filter -I FORWARD -s 10.1.100.9 -p tcp --dport 9019 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT



ACIMA ADICIONEI ALGUNS PARAMETROS COMO, ESPECIFICAÇÃO DE TABELA E RECURSO DE ESTADOS DE CONEXÕES PARA DIMINUIR O OUVERHEAD DO SERVIDOR.


CONFERIR TAMBÉM SE O REPASSE DE PACOTES ESTA SETADO EM /etc/sysctl.conf

A configuração deverá esta setada para 1 ou seja ativa como abaixo:

# Controls IP packet forwarding
net.ipv4.ip_forward = 1


att

Tiago Eduardo Zacarias
LPIC-1
VIVA O LINUX


3. Re: Regra de enlace iptables [RESOLVIDO]

Daniel Fernandes de Lima
daniel_4fun

(usa Debian)

Enviado em 02/05/2012 - 14:32h

Antes de eu alterar como vc me indicou, o serviço voltou a funcionar, mesmo assim ainda troquei -A por -I , fico acompanhando sempre pelo iptraf se tem algum trafego de pacotes passando pelo ip da central, valeu amigo! :D






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts