Liberá acesso e redirencionar máquina no iptables.

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 13:04h

Bom Dia Pessoal
estou com uma dúvida no iptables estou quendo libera a conexão de qualquer lugar para acessar um StorCenter que estamos colocando nas nuvens o que eu quero e que quando alguém coloque o IP da internet e a porta EX 200.200.200.200:30010 ele direcione para o ip da máquina EX 192.168.0.110
abaixo está a regra do iptables

$IPTABLES -t nat -A PREROUTING -s 0/0 -d 200.200.200.200 -p tcp --dport 30010 -j DNAT --to 192.168.0.110

Também estou precisando liberá para um ip o acesso a um site que está bloqueado a lista do Squid
como posso liberá no Squid e no IPTABLES

Alguém pode ajudar

Grato desde já.

phrich
(usa Slackware)

Enviado em 29/12/2011 - 14:15h

Crie também uma regra de forward para a porta 30010 e para o IP que vc quer usar

iptables -A FORWARD -p tcp --dport 30010 -d ip_interno -j ACCEPT

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 15:13h

eu Adicionei essa linha também e não conseguir uma outra duvida essa porta coloquei aleatória ela não existe para esse aplicação o que eu quero e que quando no browser colocar o ip_da_internet:30010 ele vai para o ip 172.16.225.10 onde se eu coloca esse ip em uma máquina interna já funciona o StorCenter e quero que isso funcione de fora também quando colocar o ip:porta

n4t4n
(usa Arch Linux)

Enviado em 29/12/2011 - 15:35h

Essa porta não existe? como assim?

Do jeito que colocou as requisições que chegam a 200.200.200.200 na porta 30010 vão para o ip 172.16.225.10 na porta 30010 também, então se essa porta não existe na máquina de destino não vai dar certo.

Se o que você quer é redirecionar para o endereço 172.16.225.10 na porta 80 então tem que especificar, assim:

iptables -t nat -A PREROUTING -d 200.200.200.200 -p tcp --dport 30010 -j DNAT --to-destination 172.16.225.10:80

da mesma forma para o FORWARD

iptables -A FORWARD -p tcp --dport 80 -d ip_interno -j ACCEPT

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 15:47h

$IPTABLES -A FORWARD -p TCP --dport 30010 -d 200.196.168.162 -j ACCEPT
$IPTABLES -A FORWARD -p TCP --dport 30010 -d 172.16.225.10 -j ACCEPT
$IPTABLES -A FORWARD -j ACCEPT -p TCP --dport 30010
$IPTABLES -t nat -A PREROUTING -s $FULL_IP_RANGE -d $200.196.168.162 -p TCP --dport 30010 -j DNAT --to 172.16.225.10:80

esta desse jeito a porta 30010 coloquei essa porta por que acredito que não vou ter nenhuma aplicação com essa porta ai quando coloca o browser 200.196.168.162:30010 ele redirecionar para o ip 172.16.225.10

phrich
(usa Slackware)

Enviado em 29/12/2011 - 16:23h

Coloque assim:

$IPTABLES -t nat -A PREROUTING -s $FULL_IP_RANGE -d $200.196.168.162 -p TCP --dport 30010 -j DNAT --to 172.16.225.10:80
$IPTABLES -A FORWARD -p TCP --dport 30010 -d 200.196.168.162 -j ACCEPT
$IPTABLES -A FORWARD -p TCP --dport 30010 -d 172.16.225.10 -j ACCEPT
# esta linha já libera para as duas acima, pois vc não especificou origem/destino
# portanto, pode retirar as 2 de cima ou retirar a debaixo
$IPTABLES -A FORWARD -j ACCEPT -p TCP --dport 30010

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 17:03h

pronto já fiz essa parte o que eu quero e que quando eu coloque o ip:porta no browser de uma rede externa ele possa entra no storcerter como eu faço localmente colocando o IP 172.16.225.10 como mostra a imagem abaixo o que eu tenho que fazer mais alguma coisa ?

imagem: http://img17.imageshack.us/img17/6836/capturadetelaoi.png

phrich
(usa Slackware)

Enviado em 29/12/2011 - 17:09h

A princípio não, seria só essa regra mesmo.

Mas só uma pergunta na figura eu vi que o acesso foi feito por https, então não seria 443 ou alguma outra porta ao invés da porta 80?

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 17:35h

realmente quando eu coloco o ip ele coloca o protocolo https e alterei a porta mais mesmo assim não consigo conectar de foram quando coloco o ip_real:30010 queria que fosse para a máquina que está com o storcerter

e obrigado pela ajuda.

phrich
(usa Slackware)

Enviado em 29/12/2011 - 18:15h

Vamos lá:

Primeiro veja em qual porta o programa escuta.

Se for windows

No prompt do DOS digite
netstat -nt | more

Se for Linux

netstat -nat | less


Depois é só trocar na regra lá no final

iptables parara ... --to ip:porta_do_programa

davibdasilva
(usa Ubuntu)

Enviado em 29/12/2011 - 18:45h

Não tenho como ver isso na minha máquina por que
o StorCenter ix4-200d esta conectado na rede ai conecto pelo browser pelo o ip que configuro ele como e que vou fazer o comando se ele não um terminal.
mais da minha máquina quando executei o nmap no ip 172.16.225.10 que esta configurado nele mostrou essa saida.

PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
199/tcp open smux
443/tcp open https
445/tcp open microsoft-ds
548/tcp open afp
631/tcp open ipp
720/tcp open unknown
726/tcp open unknown
873/tcp open rsync
2049/tcp open nfs
3260/tcp open iscsi
3689/tcp open rendezvous
49152/tcp open unknown

phrich
(usa Slackware)

Enviado em 29/12/2011 - 21:00h

Bom achei que vc tivesse acesso ao servidor desta aplicação..

Bom então vamos lá:

443/tcp open https
720/tcp open unknown
726/tcp open unknown
49152/tcp open unknown


Tente fazer com todas estas portas ai são as mais prováveis, se vc tiver acesso ao servidor onde está a aplicação seria mais preciso...

Ou então vc pode ver com o tcpdump

tcpdump -ni any host ip_da_aplicação

Se vc quiser salvar em um arquivo de texto use no final do comando acima "> nome_do_arquivo" (sem aspas) pois a saida dele pode ser muito grande...

Ai poste aqui a saida do comando