Eu tenho uma sub-rede que é protegida por um computador que atua como um firewall. As regras que quero que este firewall tenha são:
Negar todo o INPUT
iptables -A INPUT -j DROP
Permitir todo o OUTPUT
iptables -A OUTPUT -j ACCEPT
Encaminhar todos os pacotes da sub-rede para o exterior
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Solte todos os pacotes do lado de fora para a sub-rede ???
Rotear pacotes para a porta 80 para um servidor na sub-rede
iptables -t nat -A PREROUTING -d 192.168.2.143 -p tcp --dport 80 -j DNAT --to 172.16.32.131
O IP do firewall na eth0 é 192.168.2.143 e na eth1 é 172.16.32.254 e o servidor é 172.16.32.131
A sub-rede é 172.16.32.0/24
Eu tenho tudo funcionando, exceto que ele encaminha todos os pacotes do lado de fora para a sub-rede e não apenas para o servidor da web. Como evito isso?
A política padrão é aceitar pacotes que não correspondam a nenhuma regra. Para mudar isso, use:
iptables -P FORWARD DROP
Você pode verificar o conjunto de regras atual com iptables -L . Consulte também link (o recurso de política é mencionado na parte inferior).
Tags iptables