<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <span dir="ltr"><<a href="mailto:glenio.11622x@aparecida.go.gov.br" target="_blank">glenio.11622x@aparecida.go.gov.br</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><div>Amigos da lista,<br></div><div><br></div><div>Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.<br></div><div><br></div><div>Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site <a href="http://time.windows.com" target="_blank">time.windows.com</a> na porta de NTP para atualizar a hora, só que eu não sei como fazer.<br></div><div><br></div></div></div></blockquote><div><br></div><div>Se for para o próprio firewall fazer o acesso, então isso é tratado nas cadeias INPUT e OUTPUT, por exemplo:<br><br>Obtendo o IP do destino<br><div>]$ dig +short <a href="http://time.windows.com">time.windows.com</a></div><div><a href="http://time.microsoft.akadns.net">time.microsoft.akadns.net</a>.</div><div>13.89.46.24</div><br></div><div>iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT</div><div>iptables -A OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT</div><div><br></div><div>Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao invés do <a href="http://time.windows.com">time.windows.com</a>.</div><div>No caso eu utilizo no meu /etc/ntp.conf</div><div>server 200.144.121.33<br></div><div><div>server 200.192.112.8</div><div>server 200.135.0.3</div></div><div><br></div><div>E adaptando as regras de iptables para esses IPs.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><div></div><div>Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.<br></div></div></div></blockquote><div><br></div><div>Para permitir a sua rede interna consultar o ntp do próprio firewall, você pode fazer a regra casando com a interface de rede da rede interna e/ou o endereço da rede interna e a porta, por exemplo:</div><div>iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT</div><div>iptables -A OUTPUT -i ethX -p udp --sport 123 -j ACCEPT</div><div><br></div><div>ou</div><div>iptables -A INPUT -s <a href="http://192.168.0.0/24">192.168.0.0/24</a> -p udp --dport 123 -j ACCEPT</div><div>iptables -A OUTPUT -d <a href="http://192.168.0.0/24">192.168.0.0/24</a> -p udp --sport 123 -j ACCEPT</div><div><br></div><div>adaptando ethX e <a href="http://192.168.0.0/24">192.168.0.0/24</a> para o seu ambiente</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><div></div><div><br></div><div>Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.<br></div></div></div></blockquote><div><br></div><div>Rede interna passando pelo firewall e saindo para a internet então você trata na FORWARD. Exemplo:</div><div><br></div><div>iptables -A FORWARD -s <a href="http://192.168.0.0/24">192.168.0.0/24</a> -d 13.89.46.24 -p udp --dport 123 -j ACCEPT</div><div>iptables -A FORWARD -d <a href="http://192.168.0.0/24">192.168.0.0/24</a> -s 13.89.46.24 -p udp --sport 123 -j ACCEPT<br></div><div><br></div><div>Essas regras podem variar dependendo da política default e da ordem das regras, regras já existentes antes, etc..</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><div></div><div><br></div><div>Vocês podem me ajudar?<br></div><div><br></div><div>A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT<br></div><div><br></div><div>Glênio Côrtes Himmen<br>Super. Municipal de Trânsito de Aparecida<br><a href="mailto:glenio.11622x@aparecida.go.gov.br" target="_blank">glenio.11622x@aparecida.go.<wbr>gov.br</a></div></div></div>
<br></blockquote></div><br></div></div>