Amigos da lista,
Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.
Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site time.windows.com na porta de NTP para atualizar a hora, só que eu não sei como fazer.
Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.
Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.
Vocês podem me ajudar?
A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
Glênio Côrtes Himmen Super. Municipal de Trânsito de Aparecida glenio.11622x@aparecida.go.gov.br
Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen < glenio.11622x@aparecida.go.gov.br> escreveu:
Amigos da lista,
Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.
Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site time.windows.com na porta de NTP para atualizar a hora, só que eu não sei como fazer.
Se for para o próprio firewall fazer o acesso, então isso é tratado nas cadeias INPUT e OUTPUT, por exemplo:
Obtendo o IP do destino ]$ dig +short time.windows.com time.microsoft.akadns.net. 13.89.46.24
iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT
Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao invés do time.windows.com. No caso eu utilizo no meu /etc/ntp.conf server 200.144.121.33 server 200.192.112.8 server 200.135.0.3
E adaptando as regras de iptables para esses IPs.
Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.
Para permitir a sua rede interna consultar o ntp do próprio firewall, você pode fazer a regra casando com a interface de rede da rede interna e/ou o endereço da rede interna e a porta, por exemplo: iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -i ethX -p udp --sport 123 -j ACCEPT
ou iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT
adaptando ethX e 192.168.0.0/24 para o seu ambiente
Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.
Rede interna passando pelo firewall e saindo para a internet então você trata na FORWARD. Exemplo:
iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport 123 -j ACCEPT
Essas regras podem variar dependendo da política default e da ordem das regras, regras já existentes antes, etc..
Vocês podem me ajudar?
A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
Glênio Côrtes Himmen Super. Municipal de Trânsito de Aparecida glenio.11622x@aparecida.go.gov.br
discuss-pt-br@lists.centos.org
-
Glenio Cortes Himmen -
Marcelo Beckmann