quanto ao firewall

[veilside 0]

Olá, em minha empresa possuo um servidor de internet rodando o Squid, compartilhando a internet para a rede inteira.

 

Acontece que tenho outros servidores lá também, de cameras, pabx, etc.

 

Por terminal service do windows, eu consigo acessar por uma determinada porta, o servidor principal. Ou seja, digito o endereço ip externo da empresa + a porta, separados por : e eu consigo me conectar a ele.

 

Eu queria poder fazer o mesmo, só que em outras portas, com os outros servidores, para assim eu poder ter um eficiente gerenciamento remoto.

 

Alguém poderia me descrever como configurar isso no firewall e aonde? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif

 

lembrando que meu SO linux é o debian somente com CLI, sem modo gráfico.

 

Obrigado! http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[Prog 183]

Esta se referindo aos acessos externos aos serviços internos, né?!

Você vai precisar fazer NAT.

 

Algumas leituras:

http://focalinux.cipsga.org.br/guia/avanca...fw-iptables.htm

http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html

[veilside 0]

Obrigado prog!

 

estou começando meus estudos agora no iptables, porém uma dúvida

 

vi que terei que fazer um dos dois: DNAT ou SNAT

 

nao sei qual dos dois pois minha intenção é a seguinte:

 

obter acesso remoto da minha casa, a um host da rede.

 

no caso a regra começaria

 

iptables -t nat -A POSTROUTING -s (meu ip) -o eth1 -j SNAT --to (endereço do host da rede que será acessado):porta

 

até ai tudo bem, só que nao sei se comecei certo

 

pois essa regra diz que todos os pacotes que vierem do meu ip, serao repassados para o ip daquele host naquela porta.

 

bom, acho que entendi isso

 

porém oq eu quero é que uma porta fique vaga para eu entrar nesse host, ou seja

 

digitaria o ip de ETH1(ip da internet) + a porta que eu iria configurar, e assim teria acesso remoto lá de casa, ao host daqui.

 

 

 

Alguma dica pra mim começar? Nao sei se estou fazendo certo ou errado rsrsrs http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

 

De qualquer forma o tutorial me ajudou bastante, muito obrigado! vou começar meus estudos

[Prog 183]

Se você deseja apenas deixar 1 porta aberta para conexão, basta colocar a politica padrão do INPUT como DROP e abrir a porta desejada, exemplo:

 

iptables -P INPUT DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Isto permitirá conexões, para esta máquina, na porta 80.

 

A ferramenta nmap faz um scan de portas, de uma lida sobre ela. Pode ser uma ferramenta de grande ajuda nas suas configurações.

http://www.guiadohardware.net/dicas/usando-nmap.html

[veilside 0]

bacana, veja se eu entendi, então a linha de comando pra mim ficaria assim:

 

iptables -A INPUT -p tcp -s (meu ip de casa) -d (ip local do host na rede, que será acessado) --dport 80 -j ACCEPT

 

isso? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif

 

assim pelo q entendi, na porta 80 desse host na rede, meu pacotes com -d referente ao meu ip seriam aceitos.

 

 

 

até aí tudobem, mas e o nat? pois se eu digitasse o ip externo de internet, da rede, + a porta 80, por ex pra acessar meu servidor de cameras, lá de casa, acho que ainda sim não conseguiria acessar, pois não está fazendo nat. Ou estou redondamente enganado?! http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif

[Prog 183]

Somente este regra não faz NAT, para isto é necessãrio outras linhas de comando.

 

Dica:

Para testar o funcionamento do NAT, sugiro a instalação de máquinas virtuais, para uma simulação.

[veilside 0]

COnsegui! achei bem bacana o iptables, estou começando a entender cada vez mais.

 

Só uma dúvida, percebi que o policiamento de chain(INPUT) na tabela filter, está como ACCEPT, porém as 3 primeiras regras são:

 

Target Source Destination

 

ACCEPT ANYWHERE ANYWHERE

ACCEPT ANYWHERE ANYWHERE state NEW

ACCEPT ANYWHERE ANYWHERE state RELATED, STABLISHED

 

 

acho estranho pois assim ele estará aceitando quaisquer pacotes de ANYWHERE.

 

Eu tenho 2 placas de rede e uma delas recebe a conexão da internet, a outra repassa para a rede, então como há a opção no squid de proxy transparente, não seria melhor eu apenas deixar como regra inicial, uma regra na qual aceite todos os pacotes de ANYWHERE, com dst na porta especificada no squid, para receber o tráfego na internet? No caso o squid recebe na porta 80 externa e passa o pacote para a placa de rede secundária, na porta especificada, então para uso de internet não seria bom eu deixar uma regra inicial apenas dando ACCEPT nisso, e o resto bloqueando?

 

Não sei qual decisão tomar. http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif

 

 

E tb nao sei oq é o loopback, por ex, vi que em um tutorial feito do iptables, aquele que você me passou Prog, diz um comando para aceitar todo o trafego vindo do loopback e indo pro loopback. Não entendi oq é loopback, oq seria?

 

o comando é o seguinte:

 

iptables -A INPUT -i lo -j ACCEPT

 

se eu retirar aquelas 3 linhas de comando que descrevi lá em cima, os usuarios ficam sem internet, portanto gostaria de saber como eu faria para não liberar QUALQUER acesso de ANYWHERE para ANYWHERE e ter a internet ao mesmo tempo? pois eu coloquei um comando pra aceitar conexoes vindas com destino a porta 80 e nao adiantou, nao sei como deveria fazer.

 

 

Obrigado!

[veilside 0]

help? http://forum.imasters.com.br/public/style_emoticons/default/assobiando.gif