[GTER] Pequeno problema com Nat.

Fernando Cordeiro fequestions at gmail.com
Mon Sep 18 16:57:23 -03 2006


Senhores.. .. problema resolvido, gostaria de compartilhar com todos.

Utilizo o aswstats.sourceforge.net, gostei muito desse software e comecei a
usá-lo.
Fiz duas coisas que mudaram a situação:
1) As regras de POSTROUTING estavam uma ZONA então, eu limpei e deixei
apenas o que diz respeito a MASQUERADE. Tinha uma regra suspeita que dizia o
seguinte:
$iptables -t nat -A POSTROUTING -p tcp -o eth0 -s 192.168.6.0/24 -j SNAT
--to $IP_GATEWAY_FW
Simplesmente deixei a regra: ...-A POSTROUTING -o eth0 -j MASQUERADE
Resultado: até nas mensagens do dominio-error_log começou a aparecer os
endereços IPs válidos coisa que não estava acontecendo.

2) mudança que fiz foi no awstats. Configurei a opção
SkipHosts="REGEX[^192\.168\.6\.]" e gerei novamente o gráfico, resolveu o
problema.

Acredito que essa segunda mudança tenha feito a diferença realmente mas,
aproveitei pra acertar algumas coisas no script do firewall hehe.

Agradeço a atenção de todos os que responderam a minha dúvida. Todas as
respostas foram relevantes para a pesquisa e solução do problema.

Att,

Fernando
Supervisor de Informática e TI
Onde open-souce, always open-source.

2006/9/18, Fernando Cordeiro <fequestions at gmail.com>:
>
> Concordo com vc Wagner, mas pensando em custo benefício foi a forma mais
> rápida que encontrei para resolver esse problema e outra, tive alguns
> problemas no momento de fazer minha DMZ com ips válidos, essa configuração é
> temporária. Pelo menos eu pretendo que seja.
>
>
> 2006/9/18, Wagner Elias <wagner.elias at gmail.com>:
>
> > Pensando em segurança, fazer NAT de sua rede externa (WAN) para rede
> > interna não é uma boa prática, caso seja explorado uma vulnerabilidade
> > em seu servidor WEB, toda sua rede interna vai estar exposta.
> >
> > Lógicamente que deve-se levar em considerações outros controles
> > implementados e principalmente o fator custo/beneficio.
> >
> > Att.
> > --
> > Wagner Elias, CBCP - OWASP Project Leader Brazil
> > http://wagnerelias.blogspot.com/
> > Daryus IT Security
> >
> > On 9/16/06, Lao DanTong <danton at inexo.com.br> wrote:
> > > On Fri, 15 Sep 2006, Fernando Cordeiro wrote:
> > >
> > > > R: Danton:
> > > > - Realmente não se trata de uma DMZ propriamente falando, seria uma
> > > > "semi-dmz", apenas coloquei o servidor dentro da rede com um IP
> > inválido.
> > > > Mas funciona :D
> > >
> > > o nome técnico é "screened host". veja o livro "Building Internet
> > > Firewalls" de Elizabeth D. Zwicky, Simon Cooper, e D. Brent Chapman,
> > ed.
> > > O'Reily, 2a. edição, Junho de 2000.
> > >
> > > > $iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT
> > > > --to-destination 192.168.6.1 (com ou sem :80 no final)
> > >
> > > isto está correto. o que sugere que deve haver alguma outra regra
> > fazendo
> > > bobagem, por exemplo, uma regra genérica de NAT sem especificação de
> > > interface. Note que o pacote ainda vai passar pelo POSTROUTING.
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>



More information about the gter mailing list