Re: Problema con iptables
On 4/29/05, Javi <el_angel@fibertel.com.ar> wrote:
> El jue, 28-04-2005 a las 23:41 -0300, Leo escribió:
> > Hola Lista.
> >
> > Tengo dos cuestiones que no he podido resolver con iptables.
> >
> > He leido unos cuantos apuntes al respecto, y si bien me he enterado de
> > muchas cosas, no he podido dar con alguno que me indique puntualmente
> > como solucionar lo que a continuación les detallo.
> >
> > - Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a
> > la pc que comparte internet), pero si trato de conectarme a una de las
> > pc internas con esto:
> >
> > iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \
> > --to 192.168.0.111:22
> >
> > No puedo hacerlo.
> >
> Te falta redireccionar, cadena de forward.
Además de que te falta permitir el tráfico con una cadena FORWARD,
¿cómo va a saber el firewall a cual de los PCs intentas conectarte?.
Tendrás que usar otro puerto de entrada para el otro PC, ¿no?
> > Alguien sabe que puede estar mal en mi script de iptables que no me
> > permite hacer estas redirecciones?
> forward
> >
> > Por último, hace poco le he añadido una nueva interfaz de red de mi
> > gateway para poder separar una red en 2 distintas.
> >
> > Esto funciona perfecto, pero no encuentro la manera de evitar que desde
> > una de las redes puedan acceder a la otra.
> >
> > Oportunamente un compañero de esta lista me indicó lo siguiente:
> >
> > iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
> >
> > Pero no logro "separar" ambas redes?
> >
> > Alguien tiene una pista de lo que puede estar pasando?
> >
> nop :(
Presiento que lo que realmente necesitas es una regla de FORWARD, de
hecho 2 reglas (una para cada red):
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP
Por cierto, ten en cuenta que los paquetes van comparandose con las
reglas dependiendo de el orden en el que las tengas. Prueba a poner
estas reglas antes (lo más arriba posible del script despues de los
FLUSH)) a ver qué tal.
> > Muchas Gracias.
> >
> >
> > Salu2.
> >
> > --- Dat1.net ---
> > [Este mail fue controlado con Declude Virus/F-Prot]
> >
> Creo que leyendo solo la lista se hubiera respondido la pregunta, si no
> me equivoco te falta la cadena forward
> o sea asi como haces el prerouting hace el forward (si tenes dos placas
> en el firewall, seguramente).
> sino no te entendi, disculpame
> Saludos.
Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a
alguien que quería cambiar el puerto de SSH y es lo mismo que
necesitas tú. Lo digo sin acritud, pero creo que hay que leer y buscar
más antes de preguntar.
Me auto copio ;-) :
En el firewall dar permiso a las conexiones:
iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT
--to 192.168.1.2:22
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
[Nuevo_puerto] es el puerto que deberás especificar en el cliente
cuando intentas conectarte al PC de dentro de la LAN
192.168.1.2 es la IP del PC al que intentas conectarte de la LAN
>
> :D
> --
> Javi.
> Linux registered number 354635
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: