Re: IPtables --> Router y Firewall
El Martes, 11 de Enero de 2005 14:08, Chechu escribió:
Mirando mas detenidamente tu esquema no lo veo claro:
Parece que tienes dos routers. Yo para empezar, haría un ping desde los
routers a los demás equipos.
Que los equipos pasen por el router es facil, simplemente añade esta regla al
script de iptables (despues de la linea MASQUERADE):
iptables -A FORWARD --in-interface $lan_iface -j ACCEPT
Con esta regla llevas lo que entra en el router a $lan_iface que es el
interfaz de red conectado a la LAN.
> Hola ...e sla priemra vez que escribo a esta lista ...a ver si m pueden
> ayudar...tengo una reddispuesta de la siguiente forma
>
> INTERNET
>
> router1 |eth0(192.168.1.1)
>
>
> eth0(192.168.1.2)Ironpc3-->QoS, Router y Firewall-->(192.168.2.5)eth1
>
>
> router2 |eth1(192.168.2.1)
>
> ____|_____
>
>
> (192.168.2.3)Ironpc1 Ironpc2(192.168.2.4)
>
> El archivo /etc/network/interfaces esta configurado asi en Ironpc3
> # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)
>
> # The loopback interface
> auto lo
> iface lo inet loopback
>
> # The first network card - this entry was created during the Debian
> installation
> # (network, broadcast and gateway are optional)
> auto eth1
> iface eth1 inet static
> address 192.168.2.5
> netmask 255.255.255.0
> network 192.168.2.0
> broadcast 192.168.2.255
> gateway 192.168.2.1
> auto eth0
> iface eth0 inet static
> address 192.168.1.2
> netmask 255.255.255.0
> network 192.168.1.0
> broadcast 192.168.1.255
> gateway 192.168.1.1
> En IronPc1
>
> auto eth0
> iface eth0 inet static
> address 192.168.2.3
> netmask 255.255.255.0
> network 192.168.2.0
> broadcast 192.168.2.255
> gateway 192.168.2.5
> Y en Ironpc2 hay instala w2k con pasarela(gateway) a 192.168.2.5
>
> Entonces lo que intento conseguir es que IronPc2 solo tenga acceso a los
> puertos de internet correo y kazaa, Ironpc1 no tenga ninguna limitacion
> y Ironpc3 pueda descargar de Amule y bitorrent balanceando la conexion
> con QoS mediante el script de Wondershaper.
>
> Acabo de empezar a manejar iptables, y hesacado de un manual el
> siguiente script que he adaptado un poco....pero que ni aun asi m
> funciona
>
> #!/bin/sh
> ## SCRIPT de IPTABLES - ejemplo del manual de iptables
> ## Ejemplo de script para firewall entre red-local e internet
> ## con filtro para que solo se pueda navegar.
> ## Pello Xabier Altadill Izura
> ## www.pello.info - pello@pello.info
>
> echo -n Aplicando Reglas de Firewall...
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> ## Empezamos a filtrar
> ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
> # El localhost se deja (por ejemplo conexiones locales a mysql) Esto la
> #verdad que no entiendo pork lo hace
> /sbin/iptables -A INPUT -i lo -j ACCEPT
>
> # Al firewall tenemos acceso desde un solo pc de la red local
> iptables -A INPUT -s 192.168.2.1 -i eth1 -j ACCEPT
>
> ## Ahora con regla FORWARD filtramos el acceso de la red local
> ## al exterior. Como se explica antes, a los paquetes que no van
> ##dirigidos al
> ## propio firewall se les aplican reglas de FORWARD
>
> # Aceptamos que vayan a puertos 80
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 80 -j ACCEPT
> # Aceptamos que vayan a puertos https
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 443 -j
> ACCEPT
>
> # Aceptamos que consulten los DNS
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p udp --dport 53 -j ACCEPT
>
> # Aceptamos El bittorent(8990/8999) de IronPc3 y el amule(tcp 8890 y udp
> # 8892)
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8990:8999 -j
> ACCEPT
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8890 -j
> ACCEPT
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p udp --dport 8892 -j ACCEPT
>
> #Habria que abrir los de correo para Ironpc2
>
> # Y denegamos el resto. Si se necesita alguno, ya avisaran
> iptables -A FORWARD -s 192.168.2.4 -i eth1 -j DROP
>
> # Ahora hacemos enmascaramiento de la red local
> # y activamos el BIT DE FORWARDING (imprescindible!!!!!)
> iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j MASQUERADE
>
> # Con esto permitimos hacer forward de paquetes en el firewall, o sea
> # que otras máquinas puedan salir a traves del firewall.
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> ## Y ahora cerramos los accesos indeseados del exterior:
> # Nota: 0.0.0.0/0 significa: cualquier red
>
> # Cerramos el rango de puerto bien conocido
> iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
>
> # Cerramos un puerto de gestión: webmin
> iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
>
> echo " OK . Verifique que lo que se aplica con: iptables -L -n"
>
> # Fin del script
>
> No selo que falla exactamente, creo que aparte de que el scripteste mal
> me faltan un parde lineas para hacer que el pc funcione como router
> gracias
--
Saludos,
Javier (aka future)
Linux user #295135
Linux no es difícil,
es exigente con sus usuarios.
Reply to: