Enviada: Qui Set 28, 2006 6:23 pm Assunto: Direcionamento
A galera preciso fazer um direcionamento que passe pelo firewall pela porta 443 e direcione para um ip interno pela porta 80.
Pois funciona desse jeito a pessoa acessa o site que está hospedado em outro lugar e nesse site tem um campo de pesquisa andamento de processos para saber se processo ja está em anadamento. No codigo fonte tem essa regra que direciona pro firewall da empresa para acessar o servidor interno ttp://200.xxx.xxx.xx:443/scripts/consulta.exe/posicao?.
Nesse caso o ip "200.xxx.xxx.xx e porta 443" e do firewall e "/scripts/consulta.exe/posicao?" e do servidor interno pela porta 80.
Obs: esse direcionamento tem que receber os dados da pesquisa e reponder de volta e mostrar no site.
Agradeço quem poder mi ajudar pois já pesquisei bastante e tentei varias dicas e ainda não obtive sucesso.
Registrado em: May 23, 2005 Mensagens: 306 Localização: Goiânia / GO
Enviada: Sex Set 29, 2006 9:11 am Assunto: Re: Direcionamento
ScorpionBr escreveu:
A galera preciso fazer um direcionamento que passe pelo firewall pela porta 443 e direcione para um ip interno pela porta 80.
Pois funciona desse jeito a pessoa acessa o site que está hospedado em outro lugar e nesse site tem um campo de pesquisa andamento de processos para saber se processo ja está em anadamento. No codigo fonte tem essa regra que direciona pro firewall da empresa para acessar o servidor interno ttp://200.xxx.xxx.xx:443/scripts/consulta.exe/posicao?.
Nesse caso o ip "200.xxx.xxx.xx e porta 443" e do firewall e "/scripts/consulta.exe/posicao?" e do servidor interno pela porta 80.
Obs: esse direcionamento tem que receber os dados da pesquisa e reponder de volta e mostrar no site.
Agradeço quem poder mi ajudar pois já pesquisei bastante e tentei varias dicas e ainda não obtive sucesso.
Obs.: ativar modulos iptables antes das regras
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward _________________ João Paulo Guimarães
JPaulo as regras do firewall são essas tentei aqui vc mandou naum deu certo por favor verifique que está errado nessas regras e também não consigo pingar para o firewall só quando paro o iptables.
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
#################################################
# Tabela FILTER
#################################################
# -------------------------------------------------------
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# Dropa pacotes mal formados
# -------------------------------------------------------
#$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "
#$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP
# Aceita os pacotes que realmente devem entrar
# -------------------------------------------------------
$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# Proteção contra trinoo
# -------------------------------------------------------
$iptables -N TRINOO
$iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
$iptables -A TRINOO -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO
# Proteção contra tronjans
# -------------------------------------------------------
$iptables -N TROJAN
$iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
$iptables -A TROJAN -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN
# Proteção contra worms
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT
# Proteção contra syn-flood
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
# Proteção contra ping da morte
# -------------------------------------------------------
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Proteção contra port scanners
# -------------------------------------------------------
$iptables -N SCANNER
$iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
$iptables -A SCANNER -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER
# Libera acesso de smtp para fora apenas para o IP XXX.XXX.XXX.XXX
# -------------------------------------------------------
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j LOG --log-level 6 --log-prefix "FIREWALL: SMTP proibido: "
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j REJECT
# Bloqueio do MSN
# -------------------------------------------------------
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 1863 -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d loginnet.passport.com -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d svcs.microsoft.com -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d webmessenger.msn.com -j REJECT
#$iptables -A FORWARD -m string --string "msn." -j REJECT
#$iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
Registrado em: Oct 22, 2004 Mensagens: 2143 Localização: Salvador - Bahia
Enviada: Sex Set 29, 2006 10:24 am Assunto:
ScorpionBr escreveu:
JPaulo as regras do firewall são essas tentei aqui vc mandou naum deu certo por favor verifique que está errado nessas regras e também não consigo pingar para o firewall só quando paro o iptables.
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
#################################################
# Tabela FILTER
#################################################
# -------------------------------------------------------
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# Dropa pacotes mal formados
# -------------------------------------------------------
#$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "
#$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP
# Aceita os pacotes que realmente devem entrar
# -------------------------------------------------------
$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# Proteção contra trinoo
# -------------------------------------------------------
$iptables -N TRINOO
$iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
$iptables -A TRINOO -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO
# Proteção contra tronjans
# -------------------------------------------------------
$iptables -N TROJAN
$iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
$iptables -A TROJAN -j DROP
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN
$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN
# Proteção contra worms
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT
# Proteção contra syn-flood
# -------------------------------------------------------
$iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
# Proteção contra ping da morte
# -------------------------------------------------------
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Proteção contra port scanners
# -------------------------------------------------------
$iptables -N SCANNER
$iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
$iptables -A SCANNER -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER
# Libera acesso de smtp para fora apenas para o IP XXX.XXX.XXX.XXX
# -------------------------------------------------------
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j LOG --log-level 6 --log-prefix "FIREWALL: SMTP proibido: "
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j REJECT
# Bloqueio do MSN
# -------------------------------------------------------
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -p tcp --dport 1863 -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d loginnet.passport.com -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d svcs.microsoft.com -j REJECT
#$iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d webmessenger.msn.com -j REJECT
#$iptables -A FORWARD -m string --string "msn." -j REJECT
#$iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
Mude para
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD DROP _________________ Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
Mude para
# Determina a polÃtica padrão
# -------------------------------------------------------
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD DROP[/quote]
Mudei para ACCEPT ainda não deu certo o direcionamento. Também não consigo pingar acompanhando no iptraf fica assim na hora que o cliente acessa a pesquisa no site:
+ip_do_cliente:2834 = 3 144 S--- eth0 |
|+ip_do firewall:443 = 0 0 ---- eth0 |
|+:ip_do_cliente2834 = 3 144 S--- eth1 |
|+10.12.1.4:80 = 0 0 ---- eth1 |
|+ip_do_cliente:2840 = 3 144 S--- eth0 |
|+ip_do_firewall:443 = 0 0 ---- eth0 |
|+ip_do_cliente:2840 = 3 144 S--- eth1 |
|+10.12.1.4:80 = 0 0 ---- eth1
Enviada: Sex Set 29, 2006 11:22 am Assunto: Re: Direcionamento
JPaulo escreveu:
Abra a conexão para sua rede interna:
iptables -A INPUT -p tcp -s rede_interna -j ACCEPT
Assim aceitara pacotes vindos da rede interna.
coloquei assim "iptables -A INPUT -p tcp -s 10.12.1.0 -j ACCEPT" e nada e ta dando esse erro no iptables quando inicio as regras no iptables.
iptables v1.3.5: multiple -o flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.5: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
Enviada: Seg Out 02, 2006 8:52 am Assunto: Re: Direcionamento
ScorpionBr escreveu:
JPaulo escreveu:
Abra a conexão para sua rede interna:
iptables -A INPUT -p tcp -s rede_interna -j ACCEPT
Assim aceitara pacotes vindos da rede interna.
coloquei assim "iptables -A INPUT -p tcp -s 10.12.1.0 -j ACCEPT" e nada e ta dando esse erro no iptables quando inicio as regras no iptables.
iptables v1.3.5: multiple -o flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.5: host/network `eth1' not found
Try `iptables -h' or 'iptables --help' for more information.
Esse erro já resolve estava nessa linha:
$iptables -A POSTROUTING -t nat -o 10.12.1.2 -o $IF_EXTERNA -j MASQUERADE
Mas o direcionamento ainda não consegui fazer passei o final de semana pesquisando na internet e ainda não consegui.
Por favor mi ajudem!
FAQ
Pesquisar
Grupos
Perfil
Entrar e ver Mensagens Particulares
Login
