Servidor Urgente [RESOLVIDO]

srmm
(usa Debian)

Enviado em 28/09/2012 - 12:38h

Ola to confuso com uma coisa.


#! /bin/sh

### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description:
### END INIT INFO

case $1 in

start)
# policas que aceitam qualquer tipo de conexão
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

# limpar as regras das tabelas nat e filter
iptables -t nat -F
iptables -t filter -F

;;

start)
# politicas que bloqueiam qualquer tipo de conexão
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

;;

restart)
$0 stop
sleep 1
$0 start

for ip in 2 3 4
do
iptables -A OUTPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.1xx.$ip --dport 5$ip'000' -j ACCEPT
iptables -A INPUT -p tcp --sport 5$ip'000' -s 192.168.1xx.$ip -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp --sport 5$ip'000' -s 192.168.1xx.$ip -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024:65535 -s 0/0 -d 192.168.1xx.$ip --dport 5$ip'000' -j ACCEPT
iptables -t nat -A PREROUTIING -p tcp --sport 1024:65535 -s 0/0 -d 200.100.50.150 --dport 5$ip'000' -j DNAT --to-destination 192.168.1xx.$ip':'5$ip'000'
done

# habilita a passagem de pacotes de REDE local em direção ao mundo.
iptables -t nat -I POSTROUTING -o eth0 -s 192.168.0.150/24 -j MASQUERADE

# habilita a passagem de pings da REDE para o mundo.
iptables -A FORWARD -p icmp -d 192.168.0.150/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.150/24 -j ACCEPT

# habilita a resolução de nomes do mundo para a REDE
iptables -A FORWARD -p udp --sport 53 -s 0/0 -d 192.168.0.150/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp --sport 1024:65535 -s192.168.0.150/24 -d 0/0 --dport 53 -j ACCEPT

# habilita a passagem e o uso dos protocolos comuns para as maquinas internas.
for serv_ext in 80 443 25 110 143 993 995 21 20
do
iptables -A FORWARD -p tcp --sport $serv_ext -s 0/0 -d 192.168.0.150/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1024:65535 -s 192.168.0.150/24 -d 0/0 --dport $serv_ext -j ACCEPT
done

# permite que a maquina FIREWALL ping loopback
iptables -A OUTPUT -p icmp -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT

# permite que a maquina FIREWALL ping para o resto do mundo
iptables -A INPUT -p icmp -d 200.100.50.150 -j ACCEPT
iptables -A INPUT -p icmp -d 192.168.0.150 -j ACCEPT

# permite que a maquina FIREWALL ping para o resto do mundo por nomes
iptables -A INPUT -p udp --sport 53 -s 0/0 -d 200.100.50.150 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1024:65535 -s 200.100.50.150 -d 0/0 --dport 53 -j ACCEPT

# permite a passagem de pacotes pela porta http "usar o aptitude"
iptables -A INPUT -p tcp --sport 80 -s 0/0 -d 200.100.50.150 --dport 1024:65535 -j ACCEPT

# permite que a maquina FIREWALL receba conexões remotas por SSH
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 200.100.50.150 --dport 51000 -j ACCEPT
iptables -A OUTPUT -p tcp -s 200.100.50.150 --sport 51000 -d 0/0 --dport 1024:65535 -j ACCEPT
;;

esac


tenho 5 maquinas de virtualbox, ai na minha apostila esta assim

aqui esta escrito assim, O MANUSEIO DAS MAQUINAS POR MEIO DA TELA DO VIRTUAL BOX NAO É MUITO AGRADAVEL, POR ISSO FAÇA O REDIRECIONAMENTO DA PORTA DO SSH DE CADA MAQUINA, MAIS UMA VEZ


Ta mais eu tenho que colocar o ip de outra maquina no firewall pq esta assim 192.168.1XX.$ip ai nao entendi, eu botei o meu da maquina do FEREWALL que é 192.168.0.150 ta errado ou esta certo


Ta mais nao entendi tenho mais 4 maquinas com ip 192.168.0.2 192.168.0.50 192.168.0.100 192.168.0.150

viniciusmedina
(usa Fedora)

Enviado em 28/09/2012 - 14:23h

Vamos La, A primeira coisa que voce precisa saber é se as 5 estão na mesma rede,
Se voce quiser acessa-las via ssh estando na rede interna .

iptables -I INPUT -d 192.168.69.x -p tcp --dport 22 -j ACCEPT

OU acessar de fora da rede
iptables -t nat -A PREROUTING -i etho -p tcp --dport 22 -j DNAT --to-dest 192.168.0.x:22

Tem que ver quem é a sua interface da rede interna? E voce quer acessar 1 maquina via ssh?

srmm
(usa Debian)

Enviado em 28/09/2012 - 16:59h

Entao as maquinas sao tudo da minha rede, sao tudo virtual box, Esta como eth0