Regra Firewall [Ajuda] [RESOLVIDO]

luivilella
(usa Debian)

Enviado em 23/07/2010 - 09:45h

Certo obrigado vou testar aqui, ja que o problema para testes eh o alias a VM permite cria outras placas de rede ou seja vou criar no mesmo ambiente eth1 e eth2 nao eth1 e eth1:0.
Vou testar, ja passo os resultados.

luivilella
(usa Debian)

Enviado em 23/07/2010 - 11:58h

Server
eth1 192.168.100.254
eth3 192.168.200.254

PC1
192.168.200.1 gateway 192.168.200.254

PC2
192.168.100.100 gateway 192.168.100.254


irado, tenho que tracar uma rota de 192.168.200.1 a 192.168.100.100

route add -host 192.168.200.1 gw 192.168.200.254 dev eth3
iptables -A FORWARD -i eth3 -s 192.168.200.1 -o eth1 -d 192.168.100.100 -j ACCEPT

Qual o meu erro ???
Tento da um ping de 192.168.200.1 em 192.168.100.100 porem nao responde.

irado
(usa XUbuntu)

Enviado em 23/07/2010 - 13:10h

as máquinas conseguem pingar no gw e vice-versa?

luivilella
(usa Debian)

Enviado em 23/07/2010 - 18:10h

Sim sem problemas de 192.168.200.1 a 192.168.200.254 ok
de 192.168.100.100 a 192.168.100.254 ok

viniciusnakamura
(usa Ubuntu)

Enviado em 24/07/2010 - 20:26h

Caro amigo poste seu script do firewall para podermos dar uma analisada e assim deixar tudo funcionando direitinho
abraços.

luivilella
(usa Debian)

Enviado em 24/07/2010 - 23:27h

So para deixar melhor vou postar o que fiz ate agora:

############################## ISTO NO SERVIDOR ####################
DebianLui:~# route add -host 192.168.200.1 gw 192.168.200.254 dev eth3
DebianLui:~# iptables -A FORWARD -i eth3 -s 192.168.200.1 -o eth1 -d 192.168.100.100 -j ACCEPT
DebianLui:~# ping 192.168.100.100
PING 192.168.100.100 (192.168.100.100) 56(84) bytes of data.
64 bytes from 192.168.100.100: icmp_seq=1 ttl=128 time=1.83 ms
64 bytes from 192.168.100.100: icmp_seq=2 ttl=128 time=0.581 ms
64 bytes from 192.168.100.100: icmp_seq=3 ttl=128 time=0.579 ms
64 bytes from 192.168.100.100: icmp_seq=4 ttl=128 time=0.583 ms
64 bytes from 192.168.100.100: icmp_seq=5 ttl=128 time=0.614 ms
64 bytes from 192.168.100.100: icmp_seq=6 ttl=128 time=0.578 ms
64 bytes from 192.168.100.100: icmp_seq=7 ttl=128 time=0.887 ms
^C
--- 192.168.100.100 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6006ms
rtt min/avg/max/mdev = 0.578/0.808/1.835/0.432 ms
DebianLui:~# ping 192.168.200.1
PING 192.168.200.1 (192.168.200.1) 56(84) bytes of data.
64 bytes from 192.168.200.1: icmp_seq=1 ttl=128 time=1.33 ms
64 bytes from 192.168.200.1: icmp_seq=2 ttl=128 time=0.577 ms
64 bytes from 192.168.200.1: icmp_seq=3 ttl=128 time=0.587 ms
64 bytes from 192.168.200.1: icmp_seq=4 ttl=128 time=0.693 ms
64 bytes from 192.168.200.1: icmp_seq=5 ttl=128 time=0.676 ms
64 bytes from 192.168.200.1: icmp_seq=6 ttl=128 time=0.674 ms
^C
--- 192.168.200.1 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5010ms
rtt min/avg/max/mdev = 0.577/0.757/1.335/0.262 ms

######################### PC1: ####################################


C:\Documents and Settings\lui>ipconfig

Configuração de IP do Windows


Adaptador Ethernet Conexão local:

Sufixo DNS específico de conexão . : vilella
Endereço IP . . . . . . . . . . . . : 192.168.100.100
Máscara de sub-rede . . . . . . . . : 255.255.255.0
Gateway padrão. . . . . . . . . . . : 192.168.100.254

C:\Documents and Settings\lui>ping 192.168.100.254

Disparando contra 192.168.100.254 com 32 bytes de dados:

Resposta de 192.168.100.254: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.100.254: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.100.254: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.100.254: bytes=32 tempo<1ms TTL=64

Estatísticas do Ping para 192.168.100.254:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% de perda),
Aproximar um número redondo de vezes em milissegundos:
Mínimo = 0ms, Máximo = 0ms, Média = 0ms


##################### PC2: ######################


C:\Documents and Settings\Lui>ipconfig

Configuração de IP do Windows


Adaptador Ethernet Conexão local:

Sufixo DNS específico de conexão . :
Endereço IP . . . . . . . . . . . . : 192.168.200.1
Máscara de sub-rede . . . . . . . . : 255.255.255.0
Gateway padrão. . . . . . . . . . . : 192.168.200.254

C:\Documents and Settings\Lui>ping 192.168.200.254

Disparando contra 192.168.200.254 com 32 bytes de dados:

Resposta de 192.168.200.254: bytes=32 tempo=1ms TTL=64
Resposta de 192.168.200.254: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.200.254: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.200.254: bytes=32 tempo<1ms TTL=64

Estatísticas do Ping para 192.168.200.254:
Pacotes: Enviados = 4, Recebidos = 4, Perdidos = 0 (0% de perda),
Aproximar um número redondo de vezes em milissegundos:
Mínimo = 0ms, Máximo = 1ms, Média = 0ms

irado
(usa XUbuntu)

Enviado em 25/07/2010 - 12:42h

o que isto aqui diz pra vc:

# netstat -nr

falar nisso 192...100 e 192...200 são redes distintas; estão em NICs diferentes? quais?

luivilella
(usa Debian)

Enviado em 25/07/2010 - 14:21h

Irado, como tenho Ranges diferentes e como tinha me dito que iptables funciona somente com dispositivos físicos tenho para cada Range uma NIC
Ta minha table de roteamento mais minha regra de firewall.

Muito obrigado meu velho.

DebianLui:~# netstat -nr
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções MSS Janela irtt Iface
192.168.200.1 192.168.200.254 255.255.255.255 UGH 0 0 0 eth3
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
0.0.0.0 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
DebianLui:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.200.1 192.168.100.100

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

irado
(usa XUbuntu)

Enviado em 25/07/2010 - 14:41h

se vc pinga para o roteador (e vice-versa) mas não pinga de um client pra outro (via o gw), imagino que não ativou o forwarding do linux. Aqui tem algum material pra vc revisar:

http://www.google.com.br/search?hl=pt-BR&client=firefox-a&hs=sVQ&rls=org.mozilla%3Aen-US...

divirta-se ;)

ah sim, um outro colega solicitou que vc postasse suas regras de fwll para que ele analise. Será bom faze-lo :)

ps: fwd no Linux NÃO É o mesmo que as regras de FORWARDING. Falar nisso suas politicas (tudo accept) são apenas.. hmm.. nojentas (risos).

luivilella
(usa Debian)

Enviado em 25/07/2010 - 15:51h

#!/bin/bash

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "0" > /proc/sys/net/ipv4/ip_forward

########Direcionamento porta 80 ####
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
#####################################
######Direcionamento porta 443 #####
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp --dport 443 -j REDIRECT --to-port 3128
####################################
######## MSN ###############
/sbin/iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
################################

route add -host 192.168.200.1 gw 192.168.200.254 dev eth3
/sbin/iptables -A FORWARD -i eth3 -s 192.168.200.1 -o eth1 -d 192.168.100.100 -j ACCEPT



echo 1 > /proc/sys/net/ipv4/ip_forward

exit 0


Coloquei agora o ip_forward o ping funciona porem o PC1 acessa o PC2, o PC2 acessa o PC1 se coloco um terceiro PC também acessa mais isto nao poderia ocorrer a unica coisa que pode ocorrer eh o PC2 acessar o PC1.

PC2=192.168.200.1 acessar PC1=192.168.100.100

viniciusnakamura
(usa Ubuntu)

Enviado em 26/07/2010 - 09:50h

De uma olhada no echo que esta igual a 0 no inicio de seu script e altere para 1 assim vc tera um forward entre suas placas de rede, pois deixando como 0 vc deixara desabilitado o forward entre suas redes.

irado
(usa XUbuntu)

Enviado em 26/07/2010 - 10:23h

"Coloquei agora o ip_forward o ping funciona porem o PC1 acessa o PC2, o PC2 acessa o PC1 se coloco um terceiro PC também acessa mais isto nao poderia ocorrer a unica coisa que pode ocorrer eh o PC2 acessar o PC1."

pra isso vc tem instruções REJECT ou DENY ou então defina -s (origem) e -d (destino) nas suas regras de FORWARDING ;)

hehehe..

vc NÃO ESTÁ estudando suas lições de casa.