[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Pregunta sobre IPTABLES

Hola:

Primero debes manejar el tráfico de INPUT y OUTPUT hacia y desde el firewall, o sea, primero debe ingresar en el propio firewall, luego se hace una regla del PREROUTING donde se lleva a cabo un NAT de destino, y recién ahí vienen las reglas de FORWARD que ya tienes hechas. Las reglas de FORWARD solitas como las pusiste solo van cuando no es necesario hacer un NAT ni de origen ni de destino, o sea, solo pasa a través del firewall por ruteo. Aquí va un ejemplo que tengo en producción:

$IPTABLES -t filter -A INPUT -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d $INTERNET_IP --dport $HTTP_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A OUTPUT -p tcp -s $INTERNET_IP --sport $HTTP_PORT -d $ANYWHERE_NET --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d $INTERNET_IP --dport $HTTP_PORT -j DNAT --to $LAN_IP
$IPTABLES -t filter -A FORWARD -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d LAN_IP --dport $HTTP_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t filter -A FORWARD -p tcp -s LAN_IP --sport $HTTP_PORT -d $ANYWHERE_NET --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT



Suerte.




El 21 de febrero de 2016, 12:33, Alexis Verano Glez <alexis.verano@cab.onbc.cu> escribió:
Hola lister@s,

Estoy creando un cortafuegos en una red nueva que estoy creando y tengo dificultad con el reenvio de las peticiones desde la WAN hacia la LAN, le pongo las configuraciones

*******************************
CONFIGURACION DEL ROUTER

IP Router: 192.168.2.9
IP PC Conectada al router (eth0): 192.168.2.10

*******************************

IP PC Conectada al swith LAN (eth1): 192.168.3.1

IP PC Servicios RED: (CORREO, DHCP, DNS, CHAT) 192.168.3.2

*******************************

...... Esta es la configuracion que tengo hasta el momento, por supuesto que no es la final.

##########################
##   CONFIGURACION FIREWALL  IPTABLES
##########################
#!/bin/sh

# eth0 : 192.168.2.10 (IP conectado al router)
# eth1 : 192.168.3.1  (IP conectada a la LAN)

## FLUSH  de reglas
iptables -F
##iptables -X
##iptables -Z
##iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
##iptables -t nat -P PREROUTING DROP
##iptables -t nat -P POSTROUTING DROP

#########################
## GESTION DE TRAFICO
#########################

# Servidor DNS (puerto 53)
iptables -A FORWARD -i eth1 -p tcp --dport 53 -d 192.168.3.2 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -d 192.168.3.2 -j ACCEPT

# Servidor Correo (puertos 25, 110 y 143)
iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 25 -j ACCEPT

iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 110 -j ACCEPT

iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 143 -j ACCEPT

# Acceso al Webmail del Servidor de Correo (puerto 80)
iptables -A FORWARD -i eth1 -p tcp --dport 80 -d 192.168.3.2 -j ACCEPT

# Servidor Chat (puertos 5269, 5222)
##VARIANTE 1
iptables -A FORWARD -i eth1 -p tcp --dport 5269 -d 172.16.3.200 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 5222 -d 172.16.3.200 -j ACCEPT
##VARIANTE 2
iptables -A FORWARD -d 172.16.3.200 -p tcp --dport 5269 -j ACCEPT
iptables -A FORWARD -d 172.16.3.200 -p tcp --dport 5222 -j ACCEPT



===================================================

He estado revisando algunos manuales, pero encuentro mucha diversidad de criterios por ejemplo:

Como redirecciono una peticion desde la WAN hacia la LAN, del correo

VARIANTE 1
iptables -A FORWARD -i eth1 -p tcp --dport 25 -d 192.168.3.2 -j ACCEPT

VARIANTE 2
iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 25 -j ACCEPT


===================================================


Saludos...


--


Lic. Alexis Verano Glez
J´ Departamento de Informática
Centro Nacional de Desarrollo Profesional. ONBC.
Correo-e: alexis.verano@cab.onbc.cu
TLF: (+53)7643-9241




--
Usuario Linux Registrado # 342019
--> http://linuxcounter.net/ <--
skype --> luedcortes
gtalk --> luedcortes@gmail.com
msn --> luedcortes@gmail.com
Reply to: