Alterar regras de redirecionamento de portas com iptables

[Reginaldo]

Pessoal bom dia a todos
Trabalho com Endian já um tempinho e sempre seguindo a dicas da galera do fórum

mas não sou fera em linux não, preciso de ajuda para alterar alguns ips do redirecionamento de portas, só que isso através do iptaples, gostaria de saber se isso é possível, e como seria o comando para alterar essa regra via iptables, sem que ela sumisse da interface web.

desde já agradeço a todos que puderem ajudar;

att

[robson.robson]

O endian tem a opção de customizar o firewall sem interferir nas regras criadas via web.
esse site aqui explica certinho como fazer: http://eduardosilva.eti.br/sysadmin/customizando-o-firewall-do-endian/

[Reginaldo]

obrigado Robson
Olhei o artigo que me recomendou so que meu problema é que não posso ficar reiniciando um servidor toda vez que modifico a minha regra, deixa eu me explicar melhor;

hoje uma empresa conta com um consultor de desenvolvimento e suporte da empresa senior sistemas, porem o mesmo não trabalha mais para a senior, esse consultor trbalha via contrato, ele terceriza alguns serviços como desenvolvimento de relatório e outros, ele acessa o sistema da empresa através de Terminal server, liberando a senha dele para os tercerizados,descobri isso levei até aos meus superiores me pediram uma solução onde eu impediria os tecerizados de estarem acendo o sistema interno da empresa. para isso criei um novo servidor e alterei as portas do principal, convercei com o consultor, o mesmo me ignorou e já passou todas as mudanças para os terceiros deles.

então tive a ideia de criar um script que pingasse para um ip dinâmico, pegava o retorno desse ip
alterasse uma regra onde permitiria o redirecionamento, confesso que estou muito de vagar nesse processo, rsrsrs

até agora o que fiz esta abaixo

#! /bin/bash

DDNS=$( echo dominio.ddns.com.br )
ARQUIVO=$( echo consultor )

ping ${DDNS} -c 1 |sed ‘2,$d’ | awk ‘{print $3}’ > ${ARQUIVO}.txt
IP=$( cat ${ARQUIVO}.txt | sed ‘s/,*(//’ | sed ‘s/,*)//’ )

tudo que tenho esta ai
consigo ter dessa forma ia o ip xxx.xxx.xxx.xxx preciso colocar pra rodar acada 10 minutos por exemplo e caso desse ip ter sido alterado alterar então a regra referente ao consultor.

att

[Eduardo Silva]

Dando uma melhoradinha no script citado e combinando com as informações de regras personalizadas do endian:

#!/bin/bash
hosts="riverraid.eth0.com.br enduro.eth0.com.br"
proto=tcp
port=3389

#ip do endian na interface RED
efw_ip=192.168.123.123
internal_ip=192.16.1.10

IPT=/sbin/iptables

# Limpa regras custom (se tiver outras regras inseridas nestas cadeias elas vao desaparecer!)
$IPT -t nat -F CUSTOMPREROUTING
$IPT -t filter -F CUSTOMFORWARD
for ddns in $hosts
do
    $IPT -t nat -A CUSTOMPREROUTING -s $ddns -d $efw_ip -p $proto --dport $port -j DNAT --to-dest ${internal_ip}:${port}
    $IPT -A CUSTOMFORWARD -s $ddns -d $internal_ip -p $proto --dport $port
done

observar que:

• Escrevi rapidamente o script acima e não testei o código!! a princípio deveria funcionar
• Funciona de uma forma simples e ineficiente, seria interessante implementar uma rotina para verificar se o ip aplicado mudou, evitando reaplicar regras desnecessariamente
• Basta colocar este script no cron com as suas alterações para executar a cada 10 minutos

Uma maneira mais simples de jogar o ip do host em uma variável seria:
ip=$( host enduro.eth0.com.br |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}')

Observação importante:
A melhor forma de liberar acesso externo para um consultor, seria usando o serviço de VPN. Com o firewall do endian você ainda poderia definir de uma forma bem flexível, quais recursos que o consultor teria acesso.

[]’s

[Autor]

Posts