IPtables --> Router y Firewall

To: debian-user-spanish@lists.debian.org
Subject: IPtables --> Router y Firewall
From: Chechu <chechuironman@hotmail.com>
Date: Tue, 11 Jan 2005 14:08:57 +0100
Message-id: <[🔎] 1105448935.2563.28.camel@ironpc1>

Hola ...e sla priemra vez que escribo a esta lista ...a ver si m pueden
ayudar...tengo una reddispuesta de la siguiente forma

                INTERNET
                   |
           router1 |eth0(192.168.1.1)
		   |
		   |  
eth0(192.168.1.2)Ironpc3-->QoS, Router y Firewall-->(192.168.2.5)eth1
                   |
   		   |
           router2 |eth1(192.168.2.1)
                   |
               ____|_____
              |         |
              |         |
(192.168.2.3)Ironpc1   Ironpc2(192.168.2.4)

El archivo /etc/network/interfaces esta configurado asi en Ironpc3
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian
installation
# (network, broadcast and gateway are optional)
auto eth1
iface eth1 inet static
        address 192.168.2.5
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
        gateway 192.168.2.1
auto eth0
iface eth0 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1
En IronPc1 

auto eth0
iface eth0 inet static
        address 192.168.2.3
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
        gateway 192.168.2.5
Y en Ironpc2 hay instala w2k con pasarela(gateway) a 192.168.2.5

Entonces lo que intento conseguir es que IronPc2 solo tenga acceso a los
puertos de internet correo y kazaa, Ironpc1 no tenga ninguna limitacion
y Ironpc3 pueda descargar de Amule y bitorrent balanceando la conexion
con QoS mediante el script de Wondershaper.

Acabo de empezar a manejar iptables, y hesacado de un manual el
siguiente script que he adaptado un poco....pero que ni aun asi m
funciona

#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para firewall entre red-local e internet
## con filtro para que solo se pueda navegar.
## Pello Xabier Altadill Izura
## www.pello.info - pello@pello.info

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql) Esto la
#verdad que no entiendo pork lo hace
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde un solo pc de la red local
iptables -A INPUT -s 192.168.2.1 -i eth1 -j ACCEPT

## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van
##dirigidos al
## propio firewall se les aplican reglas de FORWARD

# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 443 -j
ACCEPT

# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p udp --dport 53 -j ACCEPT

# Aceptamos El bittorent(8990/8999) de IronPc3 y el amule(tcp 8890 y udp
# 8892)
iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8990:8999 -j
ACCEPT
iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8890  -j
ACCEPT
iptables -A FORWARD -s 192.168.1.2 -i eth0 -p udp --dport 8892 -j ACCEPT

#Habria que abrir los de correo para Ironpc2

# Y denegamos el resto. Si se necesita alguno, ya avisaran
iptables -A FORWARD -s 192.168.2.4 -i eth1 -j DROP

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP

# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

No selo que falla exactamente, creo que aparte de que el scripteste mal
me faltan un parde lineas para hacer que el pc funcione como router
gracias

Reply to:

Follow-Ups:
- Re: IPtables --> Router y Firewall
  - From: Mario Gonzalez <mario@cfrd.cl>
- Re: IPtables --> Router y Firewall
  - From: "Javier (aka future)" <future@macronukes.com>
- Re: IPtables --> Router y Firewall
  - From: "Javier (aka future)" <future@macronukes.com>

Prev by Date: gnome-pilot no me detecta la palm
Next by Date: IPtables --> Router y Firewall
Previous by thread: gnome-pilot no me detecta la palm
Next by thread: Re: IPtables --> Router y Firewall
Index(es):
- Date
- Thread