[GTER] Pequeno problema com Nat.

Celso Viana celso.vianna at gmail.com
Thu Sep 21 14:10:43 -03 2006


2006/9/18, Fernando Cordeiro <fequestions at gmail.com>:
> Senhores.. .. problema resolvido, gostaria de compartilhar com todos.
>
> Utilizo o aswstats.sourceforge.net, gostei muito desse software e comecei a
> usá-lo.
> Fiz duas coisas que mudaram a situação:
> 1) As regras de POSTROUTING estavam uma ZONA então, eu limpei e deixei
> apenas o que diz respeito a MASQUERADE. Tinha uma regra suspeita que dizia o
> seguinte:
> $iptables -t nat -A POSTROUTING -p tcp -o eth0 -s 192.168.6.0/24 -j SNAT
> --to $IP_GATEWAY_FW
> Simplesmente deixei a regra: ...-A POSTROUTING -o eth0 -j MASQUERADE
> Resultado: até nas mensagens do dominio-error_log começou a aparecer os
> endereços IPs válidos coisa que não estava acontecendo.
>
> 2) mudança que fiz foi no awstats. Configurei a opção
> SkipHosts="REGEX[^192\.168\.6\.]" e gerei novamente o gráfico, resolveu o
> problema.
>
> Acredito que essa segunda mudança tenha feito a diferença realmente mas,
> aproveitei pra acertar algumas coisas no script do firewall hehe.
>
> Agradeço a atenção de todos os que responderam a minha dúvida. Todas as
> respostas foram relevantes para a pesquisa e solução do problema.
>
> Att,
>
> Fernando
> Supervisor de Informática e TI
> Onde open-souce, always open-source.
>
> 2006/9/18, Fernando Cordeiro <fequestions at gmail.com>:
> >
> > Concordo com vc Wagner, mas pensando em custo benefício foi a forma mais
> > rápida que encontrei para resolver esse problema e outra, tive alguns
> > problemas no momento de fazer minha DMZ com ips válidos, essa configuração é
> > temporária. Pelo menos eu pretendo que seja.
> >
> >
> > 2006/9/18, Wagner Elias <wagner.elias at gmail.com>:
> >
> > > Pensando em segurança, fazer NAT de sua rede externa (WAN) para rede
> > > interna não é uma boa prática, caso seja explorado uma vulnerabilidade
> > > em seu servidor WEB, toda sua rede interna vai estar exposta.
> > >
> > > Lógicamente que deve-se levar em considerações outros controles
> > > implementados e principalmente o fator custo/beneficio.
> > >
> > > Att.
> > > --
> > > Wagner Elias, CBCP - OWASP Project Leader Brazil
> > > http://wagnerelias.blogspot.com/
> > > Daryus IT Security
> > >
> > > On 9/16/06, Lao DanTong <danton at inexo.com.br> wrote:
> > > > On Fri, 15 Sep 2006, Fernando Cordeiro wrote:
> > > >
> > > > > R: Danton:
> > > > > - Realmente não se trata de uma DMZ propriamente falando, seria uma
> > > > > "semi-dmz", apenas coloquei o servidor dentro da rede com um IP
> > > inválido.
> > > > > Mas funciona :D
> > > >
> > > > o nome técnico é "screened host". veja o livro "Building Internet
> > > > Firewalls" de Elizabeth D. Zwicky, Simon Cooper, e D. Brent Chapman,
> > > ed.
> > > > O'Reily, 2a. edição, Junho de 2000.
> > > >
> > > > > $iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT
> > > > > --to-destination 192.168.6.1 (com ou sem :80 no final)
> > > >
> > > > isto está correto. o que sugere que deve haver alguma outra regra
> > > fazendo
> > > > bobagem, por exemplo, uma regra genérica de NAT sem especificação de
> > > > interface. Note que o pacote ainda vai passar pelo POSTROUTING.
> > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

All,

Por falar em "iptables", tem um tuto bem legal no endereço...

http://www.tccamargo.com/linux/tutoriais/iptables.html

-- 
Celso Vianna
BSD User: 51318
http://www.bsdcounter.org

63 8404-8559
Palmas/TO



More information about the gter mailing list