iptables para permitir a conexão do Nimsoft na interface interna

1

A empresa com a qual eu hospedo (o Softlayer) requer que eu abra os intervalos de portas 48000 a 48020 para o serviço de monitoramento deles.

De ifconfig, estas são minhas interfaces:

eth0      Link encap:Ethernet  HWaddr 06:3F:74:F6:7F:0C
          inet addr:10.54.12.130
          ...

eth1      Link encap:Ethernet  HWaddr 06:0C:1E:65:0E:A8
          inet addr:50.23.75.242
          ....

Estas são as minhas regras atuais do iptables:

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    REJECT     all  --  anywhere             loopback/8          reject-with icmp-port-unreachable
3    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
4    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
5    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
6    ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ici
7    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere

Eu tentei este comando iptables: iptables -I INPUT 7 -i eth0 -p tcp -s 10.54.12.130 --dport 48000:48020 -j ACCEPT

O que resulta disso:

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    REJECT     all  --  anywhere             loopback/8          reject-with icmp-port-unreachable
3    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
4    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
5    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
6    ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ici
7    ACCEPT     tcp  --  10.54.12.130         anywhere            tcp dpts:nimcontroller:48020
8    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere

Mas a ferramenta de teste de monitoração do Nimsoft que o Softlayer fornece mostra que não é capaz de se conectar.

O que estou fazendo de errado?

    
por skyler 21.05.2013 / 01:19

1 resposta

3

10.54.12.130 é seu endereço IP interno, não o endereço IP interno do servidor Nimsoft do Softlayer. Você está apenas permitindo conexões com essas portas a partir do seu próprio IP! É por isso que não está funcionando.

Para resolver o problema, altere o endereço IP de origem para o endereço IP do servidor do Nimsoft fornecido a você pelo Softlayer ou, se for uma rede de gerenciamento confiável, você poderá omitir totalmente o IP de origem. O Softlayer recomenda-se que você use uma fonte de 10.0 0,0 / 8. Então, a regra seria parecida com:

-A INPUT -i eth0 -s 10.0.0.0/8 -p tcp -m state --state NEW --dports 48000:48020 -j ACCEPT
    
por 21.05.2013 / 01:22