[Fedora-users-br] iptables

Qui Out 4 01:15:11 UTC 2007

Tem coisa aí que não está fazendo sentido para mim pois tuas 
regras permitem que pacotes com endereço de origem iguais aos da 
coluna source cheguem até a subnet 192.168.0.X (por causa do 
in=any, out=any e destination=anywhere) mas não há regra que 
permita pacotes com endereço de origem 192.168.0.X alcançar as 
máquinas 192.168.1.X, 3.X, 5.X, etc, uma vez que a última regra 
(DROP) inviabiliza isto.
Em suma, pacotes gerados nas redes 1.X, 3.X, 5.X, etc, chegam à 
rede 192.168.0.X mas as respostas não voltam, impedindo assim o 
estabelecimento de conexões, mas isto você diz que consegue.
Talvez eu não tenha entendido direito a topologia da rede.  O que 
entendi foi que a eth0 da máquina Linux está ligada no roteador 
Velox, no qual também existem portas RJ45 (switch built-in no 
roteador) onde existem outras máquinas.  Já a eth1 está conectada 
a um outro switch (ou hub) no qual estão também ligadas as 
máquinas 192.168.1.X, 3.X, 5.X, etc.  É isto?

Saudações,
Otto Fuchshuber Filho
o2to2f em gmail.com

Alexandre Singulani escreveu, Em 03-10-2007 13:13:
> Não tem como eu retornar esse comando, pois o servidor fica em uma 
> empresa que so visito uma vez por semana. infelizmente nao consigo 
> acesso remoto lá, pois a internet é via satelite (LIXO).
> Mas tem alguma ideia de como proceder??
> Aqui tenho outro servidor quase na mesma situacao. eth0 no roteador 
> velox que joga pro servidor linux e mais 3 maquinas. eth1 pro restante 
> da rede.
> 
> 
> roteador velox(192.168.0.1)  ---> Servidor Linux (192.168.0.254)
> esse roteador joga pra mais 3 máquinas na faixa 192.168.0.xxx
> 
> eth1 do servidor (192.168.1.1, 192.168.3.1,...) ---> rede interna 
> (192.168.1.xxx)
> 
> So pra explicar, na eth1 uso vários aliases pra separar as redes 
> internas, faço isso para as maquinas de algumas salas nao acessarem outras.
> 
> se eu tento acessar o modem (192.168.0.1) ou outra maquina que esta nele 
> (192.168.0.3) de alguma maquina da faixa 192.168.3.xxx, consigo 
> normalmente. Agora quando faço o inverso, ele nao acessa.
> 
> aqui vou postar o resultado do comando:
> 
> 
> [root em localhost etc]# iptables -vL
> Chain INPUT (policy ACCEPT 3557K packets, 2169M bytes)
> pkts bytes target     prot opt in     out     source               
> destination
> 
> Chain FORWARD (policy ACCEPT 7392K packets, 7077M bytes)
> pkts bytes target     prot opt in     out     source               
> destination
>    0     0 ACCEPT     all  --  any    any     192.168.1.7          
> anywhere            MAC 00:0E:A6:6E:11:BA
>  362 97155 ACCEPT     all  --  any    any     192.168.1.31         
> anywhere            MAC 00:13:D4:42:A9:CD
>   61  3564 ACCEPT     all  --  any    any     192.168.3.233        
> anywhere            MAC 00:D0:09:FE:FE:3E
>  221 19694 ACCEPT     all  --  any    any     192.168.5.253        
> anywhere            MAC 00:18:E7:03:B6:16
>  726  147K ACCEPT     all  --  any    any     192.168.7.229        
> anywhere            MAC 00:18:E7:0E:2F:37
>    0     0 ACCEPT     all  --  any    any     192.168.9.221        
> anywhere            MAC 00:19:21:87:1B:F1
>    5   377 ACCEPT     all  --  any    any     192.168.9.25         
> anywhere            MAC 00:11:5B:43:BC:97
>  495 92525 ACCEPT     all  --  any    any     192.168.11.4         
> anywhere            MAC 00:16:EC:2C:74:41
>   50  2470 ACCEPT     all  --  any    any     192.168.11.6         
> anywhere            MAC 00:0A:E6:E7:51:F6
>    0     0 ACCEPT     all  --  any    any     192.168.13.11        
> anywhere            MAC 00:18:F3:DD:00:F3
>    0     0 ACCEPT     all  --  any    any     192.168.13.13        
> anywhere            MAC 00:90:F5:56:26:01
>    0     0 ACCEPT     all  --  any    any     192.168.15.130       
> anywhere            MAC 00:01:6C:3B:9B:0B
>   79  5896 ACCEPT     all  --  any    any     192.168.15.132       
> anywhere            MAC 00:0A:E6:65:E3:7E
>    0     0 ACCEPT     all  --  any    any     192.168.15.133       
> anywhere            MAC 00:16:EC:34:DE:55
>    0     0 ACCEPT     all  --  any    any     192.168.15.134       
> anywhere            MAC 00:19:B9:6D:F0:16
>   20   850 ACCEPT     all  --  any    any     192.168.17.75        
> anywhere            MAC 00:11:D8:3D:51:8C
>  117 10546 ACCEPT     all  --  any    any     192.168.19.9         
> anywhere            MAC 00:0C:6E:A2:4A:88
>  824 98903 ACCEPT     all  --  any    any     192.168.19.38        
> anywhere            MAC 00:11:5B:F0:F2:70
>    0     0 ACCEPT     all  --  any    any     192.168.19.40        
> anywhere            MAC 00:1A:4D:A1:C0:67
>   32  1429 ACCEPT     all  --  any    any     192.168.21.215       
> anywhere            MAC 00:19:21:8D:AE:CD
>    4   263 ACCEPT     all  --  any    any     192.168.23.3         
> anywhere            MAC 00:0A:E6:D7:8E:48
>  226 33213 ACCEPT     all  --  any    any     192.168.23.8         
> anywhere            MAC 00:13:D4:31:C4:BF
>    0     0 ACCEPT     all  --  any    any     192.168.23.12        
> anywhere            MAC 00:40:33:A1:47:D1
>    3   120 ACCEPT     all  --  any    any     192.168.23.232       
> anywhere            MAC 00:14:2A:FE:B2:6C
>    0     0 ACCEPT     all  --  any    any     192.168.23.7         
> anywhere            MAC 00:08:54:20:7C:95
>  607  206K ACCEPT     all  --  any    any     192.168.25.71        
> anywhere            MAC 00:08:0D:95:A2:C5
>   21   885 ACCEPT     all  --  any    any     192.168.25.192       
> anywhere            MAC 00:30:21:13:94:E4
>    0     0 ACCEPT     all  --  any    any     192.168.27.187       
> anywhere            MAC 00:13:A9:4C:4E:D9
>    0     0 ACCEPT     all  --  any    any     192.168.29.123       
> anywhere            MAC 00:16:36:C7:BD:34
>    0     0 ACCEPT     all  --  any    any     192.168.31.13        
> anywhere            MAC 00:11:D8:13:62:D3
>    0     0 ACCEPT     all  --  any    any     192.168.33.33        
> anywhere            MAC 00:40:F4:F4:00:96
>    0     0 ACCEPT     all  --  any    any     192.168.35.15        
> anywhere            MAC 00:C0:9F:CB:16:7C
>    0     0 ACCEPT     all  --  any    any     192.168.35.51        
> anywhere            MAC 00:08:54:B0:5B:1B
>   22   915 ACCEPT     all  --  any    any     192.168.37.62        
> anywhere            MAC 00:60:6E:37:7A:AE
>    0     0 ACCEPT     all  --  any    any     192.168.37.14        
> anywhere            MAC 00:40:CA:DD:35:42
>    0     0 ACCEPT     all  --  any    any     192.168.41.10        
> anywhere            MAC 00:40:F4:58:DB:90
>    0     0 ACCEPT     all  --  any    any     192.168.43.17        
> anywhere            MAC 00:1D:60:03:D4:80
>    0     0 ACCEPT     all  --  any    any     192.168.43.18        
> anywhere            MAC 00:19:21:16:5F:DA
>  288 24919 ACCEPT     all  --  any    any     192.168.43.19        
> anywhere            MAC 00:19:21:15:9D:C0
>    0     0 DROP       all  --  any    any     192.168.0.0/16       anywhere
> 
> Chain OUTPUT (policy ACCEPT 4053K packets, 4208M bytes)
> pkts bytes target     prot opt in     out     source               
> destination
> 
> 
> 
> 
>> From: Otto Fuchshuber Filho <o2to2f em gmail.com>
>> Reply-To: Lista de discussão voltada para os usuários brasileiros do 
>> Fedora <fedora-users-br em redhat.com>
>> To: Lista de discussão voltada para os usuários brasileiros do Fedora 
>> <fedora-users-br em redhat.com>
>> Subject: Re: [Fedora-users-br] iptables
>> Date: Tue, 02 Oct 2007 23:00:54 -0300
>>
>>
>> Posta o resultado do comando iptables -vL
>>
>> Saudações,
>> Otto Fuchshuber Filho
>> o2to2f em gmail.com
>>
>> Alexandre Singulani escreveu, Em 02-10-2007 22:48:
>>> Pessoal, tenho um servidor de internet rodando e to com um pequeno 
>>> problema. O servidor tem duas placas de rede, uma está conectada em 
>>> um Win2003 recebendo a internet e a outra ligada num switch 
>>> distribuindo a internet pro resto da rede. Tenho uma regra básica no 
>>> iptables, so mesmo pra compartilhar a internet, mais nada. Quando 
>>> estou na rede e pingo o win2003(que esta em outra faixa de ip), ele 
>>> aceita. Consigo inclusive acessar a maquina com win2003 pela rede. 
>>> Agora quando faço o inverso, nao obtenho exito. Não consigo acessar a 
>>> rede pelo 2003 de forma alguma. so pra demonstrar:
>>>
>>> eth0(192.168.1.2) ----> ligada no Win2003 (192.168.1.1)
>>> eth1(192.168.0.1)---> ligada no switch que vai pro restante da rede 
>>> (faixa de ip 192.168.0.xxx)
>>>
>>> tentei algumas regras pra fazer a ligacao de uma faixa com outra, mas 
>>> nao consegui, alguem pode me ajudar???
>>>
>>>
>>> []s
>>>
>>> _________________________________________________________________
>>> Descubra como mandar Torpedos do Messenger para o celular! 
>>> http://mobile.msn.com/
>>>
>>> -- 
>>> Fedora-users-br mailing list
>>> Fedora-users-br em redhat.com
>>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>>
>>
>> -- 
>> Fedora-users-br mailing list
>> Fedora-users-br em redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
> 
> _________________________________________________________________
> Descubra como mandar Torpedos do Messenger para o celular! 
> http://mobile.msn.com/
> 
> -- 
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
> 