Roteamento e Acesso Externo [RESOLVIDO]

Diego-Garcia
(usa Linux Mint)

Enviado em 18/03/2013 - 17:48h

Boa Tarde Pessoal.

Li diversas coisas sobre IpTables mas ainda não consegui pegar como funciona.

Estou implantando o Squid em uma empresa. Nesta empresa, preciso liberar dois acessos externos. Um para o servidor das câmeras e o outro para o Servidor de dados.

A estrutura esta montada da seguinte maneira:

Modem -> Roteador (10.0.0.1) -> Squid eth0 (10.0.0.128) eth2 (192.168.0.1) -> Câmeras (192.168.0.200)

Para acessar as câmeras, preciso digitar o Dyndns mais a porta 7070.
Para acessar a aplicação do Servidor, preciso digitar o IP mais a porta 80.

No Squid e no roteador, já estão liberadas as portas 7070 e a 80.

Agora, a duvida é como criar a regra no IpTables para fazer os pacotes que vem da internet entrarem no modem, passar pelo roteador, entrar na eth0 e sair na eth2 roteada para o ip 192.168.0.200 na porta 7070 para as câmeras e fazer o mesmo caminho para o IP 192.168.0.254 na porta 80 para o servidor.

OBS: para quem esta perguntando "porque eth2 e não eth1?" queimou a placa de rede na eth1 e quando coloquei outra no lugar ele leu como eth2 e como ainda sou novo no mundo Linux e o cliente sempre tem pressa, mudei as configurações no squid.conf ate descobrir como resolver este problema.

Tenho outra duvida, como liberar a internet total sem restrições para determinados MAC's ou IP's e manter o bloqueio para o resto, mas isso vem sem segundo plano.

Desculpe por um texto longo, mas preciso resolver estes problemas.
Desde já agradeço aos amigos do fórum.

phrich
(usa Slackware)

Enviado em 19/03/2013 - 15:34h

Cara, dê uma lida neste artigo, vc terá uma noção do que vc precisa:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

Diego-Garcia
(usa Linux Mint)

Enviado em 20/03/2013 - 08:16h

Obrigado pela ajuda.
Estou lendo o post e retirando algumas duvidas.
Assim que eu terminar de ler eu posto aqui o que ainda não consegui resolver.
Muito Obrigado

Diego-Garcia
(usa Linux Mint)

Enviado em 22/03/2013 - 08:45h

Consegui resolver uma parte do problema.

Fiz uma configuração no Iptables que me possibilitou o acesso remoto.
Estou testando ainda na maquina virtual, e tive sucesso. Vou implementar no cliente em alguns dias depois de fazer mais testes.

Arquivo rc.firewall

#!/bin/bash

# Limpa a tabela filter
iptables -F

# Limpa a tabela nat
iptables -t nat -F

# Limpa a tabela mangle
iptables -t mangle -F

# Habilita o roteamento no kernel #
echo 1 > /proc/sys/net/ipv4/ip_forward

# Compartilha a internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Acesso remoto via RDP para um host RWindows
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3389 -j DNAT --to-destination 192.168.2.100:3389


# FIM DO SCRIPT DE FIREWALL #

Para funcionar o acesso remoto, primeiro eu liberei a porta 3389 nos protocolos TCP e UDP depois fiz o redirecionamento com as regras abaixo.

Preciso agora descobrir, como eu libero a internet sem restrições para um determinado grupo de usuários e restrinjo para outros.