Re: [Off topic]:Ayuda con iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: [Off topic]:Ayuda con iptables
From: Victor Calzado <vcalzado@cnio.es>
Date: Tue, 26 Aug 2003 13:55:40 +0200
Message-id: <[🔎] 36ED4FF6-D7BC-11D7-8377-00039301DBAC@cnio.es>
In-reply-to: <[🔎] 20030826133936.7384f8dc.XaRz69@terra.es>

Hola :))
El Martes, 26 agosto, 2003, a las 01:39 PM, Pere Castañer escribió:

Hola a todos.
Sé que no es debian subject pero si alguien de por qui puede echarmeun cable se lo agradecere enormemente.
Tengo habilitado ip forwarding con iptables en un ordenador con dosethernets delante de la LAN privada en una conexion con cable e IPdinámica.(Es el típico montage para tener más de dos ordenadores conectados conuna conexión de cable de Auna).
Esquema:

      Internet---->Cablemodem---->LinuxRouter--->switch----->LAN
Tengo las siguientes reglas en un fichero de texto en /etc/init.d/llamado reglas, que pasteo a continuación:


snip

iptables -A INPUT -i eth0 -p TCP --dport 4662 -m state --state NEW -jACCEPTiptables -A INPUT -i eth0 -p UDP --dport 4662 -m state --state NEW -jACCEPTiptables -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -jACCEPTiptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -jACCEPT

Esto nos ha pasado a casi todos al usar el DNAT con iptables porprimera vez, en realidad el gancho de PREROUTING es independiente deINPUT a nivel de filtrado ( las reglas de INPUT no afectan a PREROUTING) y depende de FORWARD con lo que si quieres habilitar el DNAT tienesque asociar reglas de FORWARD que permitan que las conexiones"traducidas" atraviesen el PC.

#nat per mlnet, http, ssh, ftp.
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4662 -j DNAT --to192.168.0.2:4662iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4662 -j DNAT --to192.168.0.2:4662iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 22 -j DNAT --to192.168.0.2:22iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 21 -j DNAT --to192.168.0.2:21iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 20 -j DNAT --to192.168.0.2:20iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 80 -j DNAT --to192.168.0.2:80
#Acceptar connexions ja establertes
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

#Passant de la resta de paquets
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

Con lo que esta regla es la culpable de todas tus desgracias, si añadespor delante de ellas las reglas que tienes definidas en el gancho deINPUT en este gancho de FORWARD te funcionará correctamente, eso sirecuerda que todo lo que sale por un interface necesita poder volverpor él.

-----------------------------------------------------------------------

PROBLEMA:
No consigo hacer el nat correctamente. El puerto 80 el 21 el ssh..etcse me quedan en el linux router en vez de pasar al ordenador de laLAN. Sabéis que hago mal?
Gracias y perdonad el Offtòpic.

un saludo
Victor

My will is strong but my won't is weak

Reply to:

Follow-Ups:
- Re: [Off topic]:Ayuda con iptables
  - From: Pere Castañer <XaRz69@terra.es>

References:
- [Off topic]:Ayuda con iptables
  - From: Pere Castañer <XaRz69@terra.es>

Prev by Date: [Off topic]:Ayuda con iptables
Next by Date: Re: Ayuda con iptables
Previous by thread: [Off topic]:Ayuda con iptables
Next by thread: Re: [Off topic]:Ayuda con iptables
Index(es):
- Date
- Thread