Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Olá, em minha empresa possuo um servidor de internet rodando o Squid, compartilhando a internet para a rede inteira.
Acontece que tenho outros servidores lá também, de cameras, pabx, etc.
Por terminal service do windows, eu consigo acessar por uma determinada porta, o servidor principal. Ou seja, digito o endereço ip externo da empresa + a porta, separados por : e eu consigo me conectar a ele.
Eu queria poder fazer o mesmo, só que em outras portas, com os outros servidores, para assim eu poder ter um eficiente gerenciamento remoto.
Alguém poderia me descrever como configurar isso no firewall e aonde? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif
lembrando que meu SO linux é o debian somente com CLI, sem modo gráfico.
Obrigado! http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif
Obrigado prog!
estou começando meus estudos agora no iptables, porém uma dúvida
vi que terei que fazer um dos dois: DNAT ou SNAT
nao sei qual dos dois pois minha intenção é a seguinte:
obter acesso remoto da minha casa, a um host da rede.
no caso a regra começaria
iptables -t nat -A POSTROUTING -s (meu ip) -o eth1 -j SNAT --to (endereço do host da rede que será acessado):porta
até ai tudo bem, só que nao sei se comecei certo
pois essa regra diz que todos os pacotes que vierem do meu ip, serao repassados para o ip daquele host naquela porta.
bom, acho que entendi isso
porém oq eu quero é que uma porta fique vaga para eu entrar nesse host, ou seja
digitaria o ip de ETH1(ip da internet) + a porta que eu iria configurar, e assim teria acesso remoto lá de casa, ao host daqui.
Alguma dica pra mim começar? Nao sei se estou fazendo certo ou errado rsrsrs http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif
De qualquer forma o tutorial me ajudou bastante, muito obrigado! vou começar meus estudos
Se você deseja apenas deixar 1 porta aberta para conexão, basta colocar a politica padrão do INPUT como DROP e abrir a porta desejada, exemplo:
>
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Isto permitirá conexões, para esta máquina, na porta 80.
A ferramenta nmap faz um scan de portas, de uma lida sobre ela. Pode ser uma ferramenta de grande ajuda nas suas configurações.
bacana, veja se eu entendi, então a linha de comando pra mim ficaria assim:
iptables -A INPUT -p tcp -s (meu ip de casa) -d (ip local do host na rede, que será acessado) --dport 80 -j ACCEPT
isso? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif
assim pelo q entendi, na porta 80 desse host na rede, meu pacotes com -d referente ao meu ip seriam aceitos.
até aí tudobem, mas e o nat? pois se eu digitasse o ip externo de internet, da rede, + a porta 80, por ex pra acessar meu servidor de cameras, lá de casa, acho que ainda sim não conseguiria acessar, pois não está fazendo nat. Ou estou redondamente enganado?! http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif
Somente este regra não faz NAT, para isto é necessãrio outras linhas de comando.
Dica:
Para testar o funcionamento do NAT, sugiro a instalação de máquinas virtuais, para uma simulação.
COnsegui! achei bem bacana o iptables, estou começando a entender cada vez mais.
Só uma dúvida, percebi que o policiamento de chain(INPUT) na tabela filter, está como ACCEPT, porém as 3 primeiras regras são:
Target Source Destination
ACCEPT ANYWHERE ANYWHERE
ACCEPT ANYWHERE ANYWHERE state NEW
ACCEPT ANYWHERE ANYWHERE state RELATED, STABLISHED
acho estranho pois assim ele estará aceitando quaisquer pacotes de ANYWHERE.
Eu tenho 2 placas de rede e uma delas recebe a conexão da internet, a outra repassa para a rede, então como há a opção no squid de proxy transparente, não seria melhor eu apenas deixar como regra inicial, uma regra na qual aceite todos os pacotes de ANYWHERE, com dst na porta especificada no squid, para receber o tráfego na internet? No caso o squid recebe na porta 80 externa e passa o pacote para a placa de rede secundária, na porta especificada, então para uso de internet não seria bom eu deixar uma regra inicial apenas dando ACCEPT nisso, e o resto bloqueando?
Não sei qual decisão tomar. http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif
E tb nao sei oq é o loopback, por ex, vi que em um tutorial feito do iptables, aquele que você me passou Prog, diz um comando para aceitar todo o trafego vindo do loopback e indo pro loopback. Não entendi oq é loopback, oq seria?
o comando é o seguinte:
iptables -A INPUT -i lo -j ACCEPT
se eu retirar aquelas 3 linhas de comando que descrevi lá em cima, os usuarios ficam sem internet, portanto gostaria de saber como eu faria para não liberar QUALQUER acesso de ANYWHERE para ANYWHERE e ter a internet ao mesmo tempo? pois eu coloquei um comando pra aceitar conexoes vindas com destino a porta 80 e nao adiantou, nao sei como deveria fazer.
Obrigado!
help? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif
Esta se referindo aos acessos externos aos serviços internos, né?!
Você vai precisar fazer NAT.
Algumas leituras:
http://focalinux.cipsga.org.br/guia/avanca...fw-iptables.htm
http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html