Ajuda com script para direcionamento de serviços

pszepiura
(usa Ubuntu)

Enviado em 26/02/2010 - 17:08h

Bom dia caros colegas.

Gostaria de uma ajuda do pessoal ai. Tenho um link de dados, que não vai ser utilizado para navegação a internet. Ele será usado exclusivamente para que a filial da empresa possa usar um sistema que roda na porta 1234 e que fica na matriz.

Meu cenário é o seguinte:
eth0 - Frame Relay
eth1 - Rede Local

Consultas vindas pela porta 1234 devem ser direcionadas para o IP 192.168.0.250.
E o controle de quem pode acessar o serviço que roda na porta 1234 eu gostaria de fazer por MAC. O objetivo é apenas direcionar os serviços... não deve compartilhar a internet. Politica padrão DROP... so liberar o que eu quero e pra quem eu quero.

Ja tentei alguns scripts na internet, mas não deram muito certo...

Se alguem puder me ajudar fico grato.
Fabio A. Pszepiura

ferrerinha
(usa Debian)

Enviado em 26/02/2010 - 19:22h

Aqui tem um script para tentar lhe ajudar, mais vou ficar lhe devendo o mac por enquanto.

Usei um script parecido com esse para direcionar a acesso a um site para dentro da rede da empresa, ta funcionando sem nenhum problema. Pelo menos niguem reclamo, olha que ainda usei uma maquina bem velhinha.

No meu caso a maquina necessitava de internet para uso de ftp e etc, mais não testei se funciona sem o '
echo 1 > /proc/sys/net/ipv4/ip_forward ' ok?

Dica você quiser melhorar mais a velocidade do acesso a porta que do seu sistema usa a tabela mangle com o TOS na porta.

# INTERFACES DE REDE
WLAN=eth0
LAN=eth1
REDE="192.168.0.0/24"

# LIMPA TODAS AS REGRAS ANTERIORES

iptables -F
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F

# CARREGA MODULO DO IPTABLES

modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_state
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_MASQUERADE

# ACEITA PACOTES COM CONEXAO EXISTENTE E RELACIONADOS INDIRETAMENTE

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# LIBERA ACESSO LOOPBACK

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# LIBERA ACESSO PARA REDE LOCAL

iptables -A INPUT -i $LAN -j ACCEPT
iptables -A FORWARD -i $LAN -j ACCEPT

# LIBERA ACESSO A CONSULTA DNS

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

# LIBERAR A PORTA QUE SE VAI REDIRECIONAR POIS SE NAO A POLITICA PADRAO BLOQUEIA

iptables -A FORWARD -p tcp --dport 1234 -j ACCEPT

# COMPARTILHAMENTO DE INTERNET (FORWARD)
echo 1 > /proc/sys/net/ipv4/ip_forward

# ATIVA O MASCARAMENTO

iptables -t nat -A POSTROUTING -s $REDE -o $WLAN -j MASQUERADE


# AQUI FAZ O REDIRECIONAMENTO DO ACESSO A DETERMINADA PORTA DA INTERNET PARA MAQUINA NA REDE LOCAL

iptables -t nat -A PREROUTING -p tcp -i $WLAN --dport 1234 -j DNAT --to 192.168.0.250
iptables -t nat -A POSTROUTING -d 192.168.0.250 -j SNAT --to 192.168.0.1

# POLITICA PADRAO

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

echo "Firewall Ativado."