melphos
(usa Debian)
Enviado em 21/12/2010 - 11:03h
Como estou usando o OpenSuse, eu geralmente não faço as instruções de firewall via comando e sim usando o Yast que é o gerenciador da distro.
> Beleza, sem problemas!
sim, no servidor de internet eu primeiro liberei a porta 80 para acesso externo, mas não sei como verificar se ele aceita portas baixas. O procedimento que eu executei é o mesmo quando eu liberei a por xxxx para acesso externo usando o vnc, que está funcionando legal. Imagino que ao liberar uma porta para acesso externo ela fica exposta, ou seja, liberei a porta 80 que é a porta web.
> Ok! Vamos manter o pensamento que esteja liberada.
Nesse momento, usando o yast solicitei que todo acesso externo na porta 80 no ip final 69, fosse enviado para o ip 179.
> Beleza é isso que queremos mesmo!
olhe o firewall do ip 69(internet):
Dec 20 19:08:48 cil kernel: [28572.649005] SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=189.13.213.8 DST=192.168.0.179 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=22226 DF PROTO=TCP SPT=4185 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Dec 20 19:08:51 cil kernel: [28575.726209] SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=189.13.213.8 DST=192.168.0.179 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=22229 DF PROTO=TCP SPT=4185 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Dec 20 19:08:57 cil kernel: [28581.851767] SFW2-FWDext-ACC-REVMASQ IN=dsl0 OUT=eth0 SRC=189.13.213.8 DST=192.168.0.179 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=22231 DF PROTO=TCP SPT=4185 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Observe que o ip DST é = 192.168.0.179 e a DPT = 80, parece-me que ele sai do servidor de internet(69) e esta tentado conexão com o servidor web(179).
> Boa, então olhando este log percebemos que o que configurou está funcionando, ou seja, repassar da interface dsl0 (ou qualquer requisição ao 69) para a eth0 (LAN) com destino ao 179.
No firewall do servidor web(179) ele não altera nada e não recebo nenhuma mensagem de tentativa de acesso.
> Aqui onde está o nosso problema, o firewall do servidor Web está habilitado (muito bom!), só que não recebemos nada nele e o pacote nem chega no web server (log). Então podemos concluir que há algum problema no encaminhamento de pacotes para o web server vindo do firewall (mas nos logs que enviou o repasse de pacotes está sendo feito entre as interfaces: dsl0 -> eth0). Então, o que pode estar errado seria a chain OUTPUT da tabela filter. Como está as suas políticas padrões na tabela OUTPUT ? Se está como DROP, tem a liberação de pacote em direção ao web server na porta 80 ? Algo como:
iptables -A OUTPUT -p tcp -o eth0 -d 192.168.0.179 --dport 80 -j ACCEPT
Outro detalhe importante, quando eu acesso na rede interna no ip 179 eu consigo abrir normalmente a minha página web.
> Ok! Então sabemos que o web server está ok, uma vez que vindo da rede interna o pacote não passa pelo gateway, a requição fica na camada de switch.
Tá complicado???? rs rs
> Acho que não, acho que deve ser alguma regra no servidor firewall que está faltando.
Agradeço sua ajuda.
> Não por isso.
Geraldo.
[]'s
Melphos
