Re: Problema con IPTABLES y FILTRADO
On Tue, 22 Mar 2005 10:48:04 -0400, AleXerTecH <alexertech@gmail.com> wrote:
> Hola a todos!!
>
> Adjunto mi grano de arena con un script de firewall que construyo un
> amigo con iptables, solo agradezco seriedad a la hora de conservar los
> nombres de los autores, usenlo como quieran pero por favor no eliminen
> los nombres de los autores ni las referencias.
>
> El problema es el siguiente: Este script funciona perfecto en en el
> filtrado entre el servidor y el firewall, pero los computadores de la
> red interna no pueden ver los dominios web del servidor. Es decir,
> desde internet si pueden ver las paginas web pero desde la intranet
> no. Desde adentro solo ven el DNS, pero no pueden ver ninguna
> www.dominio.com o *.dominio.com, solo pueden ver dominio.com (sin nada
> antes).
>
> Aclaro que si hago ping a estas dir (*.dominio.com), si llega, pero si
> trato de acceder desde un navegador no se puede.
>
> Espero haberme explicado.
>
> Adjunto mi granito de arena en el mundo DEBIAN (aunq se que pueden
> haber cosas mejores), y espero su ayuda.
>
> Un saludo y gracias!
>
> ---------------------------------------------------------------------
> ( o < -! Debian Sarge
> / /\
> V_/_
>
> ! ..::'''AleXerTecH'''::.. ! !
>
>
>
Hola, estoy echandole un ojo a tu script y hay un par de cosas que no
sé si están bien:
#########################################################################
# Reglas del renvio de paquetes. #
#########################################################################
#$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
No sé porqué está comentada esta regla, si es porque quieres capar
algunos servicios de los PCs, ¿no deberían estar abiertos los
servicios que sí les dejas en alguna parte?
$IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT
Esto sí que me parece raro. ¿Dejas que todo lo que venga de internet entre?
Teniendo en cuenta que más abajo dejas que pasen los paquetes RELATED
y STABLISHED, creo que sería conveniente que esto esté cerrado y abras
en función de lo que quieres publicar en internet o si quieres enrutar
algo en concreto.
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
Creo que la primera de estas 3 reglas es la más adecuada, aunque
teóricamente te valdría esta otra en su lugar.
Si no eres demasiado conspiranoico y quieres dejar que los PCs de la
LAN tengan acceso a lo que sea de internet, yo descomentaría la
primera regla y haría desaparecer del mapa la segunda y la tercera
regla;-). En cualquier caso, tal como lo tienes ahora no le veo mucho
sentido.
Aunque si lo haces como te comento, debes dejar pasar el tráfico para
los puertos que tienes redirigidos con DNAT.
Por ejemplo, para la página web algo así:
$IPTABLES -A FORWARD -i $INET_IFACE -o $ILAN_IFACE --dport 80 -m
state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-leve
l DEBUG --log-prefix "IPT FORWARD packet died: "
$IPTABLES -A FORWARD -i $INET_IFACE -m state --state NEW,INVALID -j DROP
A esta regla, por ejemplo, no creo que llegen nunca paquetes porque en
la segunda regla de FORWARD, tal como lo tienes hasta ahora, ya has
dejado pasar todo ;-)
Lo siento pero no tengo más tiempo para revisar el resto del scrpit,
pero te recomiendo que le eches un vistazo a fondo ;-).
Si luego tengo un rato, lo miro con más calma.
Suerte!
Reply to: