Migrando do ipchains para o iptables
Atualizou kernel e agora seu ipchains não fuciona mais? Escontre aqui a solução utilizando o iptables, uma nova ferramenta para firewall e mascaramento que se encontra nas versões 2.4 do kernel e superior.
Este artigo mostra exemplos utilizando o iptables e comparando-o com a mesma funcionalidade do ipchains.
[ Hits: 31.743 ]
Por: Wanderson Berbert em 24/07/2003
Redirecionado pacotes
Uma das coisas que eu não conseguia fazer funcionar corretamente no
ipchains era o redirecionamento de pacotes udp e tcp, com os pacotes
tcp. Consegui resolver o problema utilizando um programa chamado redir.
# redir --lport=80 --cport 80 --laddr=200.219.228.90 --caddr=192.168.0.1
Este comando redireciona os pacotes que entram pela porta 80 para um servidor na rede interna de ip 192.168.0.1 também pela porta 80.
No iptables este redirecionamento funcionou sem a necessidade de se instalar nenhum pacote adicional.
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1
Caso você queria redirecionar para outra porta no servidor
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:180
Página anterior Próxima página
Páginas do artigo
1.
Aceitando ou negando pacotes
2.
Mascarando uma conexão
3. Redirecionado pacotes
4.
Concluindo
Outros artigos deste autor
Nagios - Um poderoso programa de monitoramento de rede (parte 1)
Bugzilla (Bug Tracking System)
Mascarando conexões VPN com iptables
Configurando servidor IMAP
OneOrZero Helpdesk
Leitura recomendada
IPset - Bloqueie milhares de IPs com o iptables
Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1
Script de Firewall com redirecionamento de portas em Linux Debian
Dominando o Iptables (parte 2)
Controlando 2 links de internet (roteados) em um gateway Linux com SQUID
Comentários
Artigo bem interessante para quem ainda não migrou para o iptables!
Olá amigo como eu mudo a seguinte regra que esta em ipchains para iptables !
ipchains -A input -j DENY -i eth0
ipchains -A input -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
ipchains -A output -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
Se poder mi ajudar fico grato !
Mensagem
Olá amigo como eu mudo a seguinte regra que esta em ipchains para iptables !
ipchains -A input -j DENY -i eth0
ipchains -A input -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
ipchains -A output -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
Se poder mi ajudar fico grato !
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J drop
Mensagem
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J drop
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J DROP
Mensagem
Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:
iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J DROP
E ae blz ? Cara eu gostaria d uma ajuda, eu queria saber se tem como eu liberar todos os ip's para uma porta, Eu acho q Pode ser assim mas naão tenho certeza ---> # iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT <------ Porem não tenho certeza sobre esses 0.0.0.0, se vc puder me ajudar fico agradecido, Falo e obrigadado !
Mensagem
E ae blz ? Cara eu gostaria d uma ajuda, eu queria saber se tem como eu liberar todos os ip's para uma porta, Eu acho q Pode ser assim mas naão tenho certeza ---> # iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT <------ Porem não tenho certeza sobre esses 0.0.0.0, se vc puder me ajudar fico agradecido, Falo e obrigadado !
Está legal, mas quando não interessa o destino, não é necessário coloca-lo no comando:
iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT
vc pode tirar o destination -d e o comando ficará assim:
iptables -A INPUT -i eth0 -p tcp --dport 4660 -j ACCEPT
Desta maneira deve funcionar sem problemas.
Mensagem
Está legal, mas quando não interessa o destino, não é necessário coloca-lo no comando:
iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT
vc pode tirar o destination -d e o comando ficará assim:
iptables -A INPUT -i eth0 -p tcp --dport 4660 -j ACCEPT
Desta maneira deve funcionar sem problemas.
Obrigado pela resposta, soh vou t encomodar + uma vez.... eu peguei um guia de configuração do iptables que é
http://www.mtm.ufsc.br/~krukoski/pup/linux/focalinux3/ch-fw-iptables.htm então nesse artigo eu encontrei varias pasta q não existem, queria saber se eu tenho q criar esses arquivos e pastas ou eles estão em outros lugares ? como por exemplo /var/log/kern.log e /etc/network/interfaces porem existem alguns q existem como por exemplo /proc/net/ip_tables_names então me de uma luz, rsrsrs.
Falow um abraço
Mensagem
Obrigado pela resposta, soh vou t encomodar + uma vez.... eu peguei um guia de configuração do iptables que é http://www.mtm.ufsc.br/~krukoski/pup/linux/focalinux3/ch-fw-iptables.htm então nesse artigo eu encontrei varias pasta q não existem, queria saber se eu tenho q criar esses arquivos e pastas ou eles estão em outros lugares ? como por exemplo /var/log/kern.log e /etc/network/interfaces porem existem alguns q existem como por exemplo /proc/net/ip_tables_names então me de uma luz, rsrsrs.
Falow um abraço
Não é necessário criar estas pastas pois as mesmas variam de uma distribuição para outra.
Se prenda ao que está escrito no manual do iptables.
$ man iptables
Valews?
Mensagem
Não é necessário criar estas pastas pois as mesmas variam de uma distribuição para outra.
Se prenda ao que está escrito no manual do iptables.
$ man iptables
Valews?
Boa, me ajudou muito, nota 9
Mensagem
Boa, me ajudou muito, nota 9
Interessante é que com iptables pode se fazer a maioria dos bloqueio, deixando algo muito especifico pro squid
Mensagem
Interessante é que com iptables pode se fazer a maioria dos bloqueio, deixando algo muito especifico pro squid
Contribuir com comentário
Enviar