Re: Re:Redireccion puertos 25 y 110
- To: debian-user-spanish@lists.debian.org
- Subject: Re: Re:Redireccion puertos 25 y 110
- From: Anibal Fenoglio <anifeno@yahoo.com.ar>
- Date: Thu, 12 May 2005 01:50:27 -0300
- Message-id: <[🔎] 1115873428.15595.15.camel@localhost>
- In-reply-to: <!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAxI8SKlC1MUSAXotbpzO3ZeKCAAAQAAAAhzdHGFai2EO179/+5zoyWQEAAAAA@infovalles.com>
- References: <!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAxI8SKlC1MUSAXotbpzO3ZeKCAAAQAAAAhzdHGFai2EO179/+5zoyWQEAAAAA@infovalles.com>
El jue, 12-05-2005 a las 03:09 +0200, lalistax escribió:
> He estado preguntando por la lista de debian, y no me aclaro con
> iptables.
>
> Os cuento mi situación, tengo 2 redes una de rango 192.168.0.x y otra
> 192.168.1.x
>
> En la 192.168.0.x tengo en el .1 el router, en el .10 el ordenador del
> jefe y en .100 el servidor debian
> En la 192.168.1.x tengo en el .1 .2 .3 .4 ordenadores clientes para
> oficina, y en el .100 el servidor debian
>
> Los pcs clientes reciben internet a través del proxy, el squid en el
> puerto 8080.
>
> Hasta aquí todo bien, ahora el jefe me ha pedido que configure los 4 pcs
> clientes el outlook.
>
> Y Cual es mi problema, pues claro que los pcs clientes no pueden acceder
> al router, la solución por lo que he leído es redirigir el trafico de
> los puertos 25 y 110 al router, y que esto se hace con iptables, yo de
> iptables no sé, seamos sinceros, y el jefe quiere verlo el viernes, y la
> cosa esta complicada, jejejej, he hecho pruebas y no he conseguido sacar
> nada en claro.
>
> Por defecto las maquinas van a pedir el trafico web por la configuración
> del navegador web al servidor por lo que creo no tener que hacer ninguna
> regla, o si?
> Lo mismo pregunto para utilizar el samba.
>
> Yo solo quiero que iptables me redirija el trafico de los puertos 25 y
> 110 hacia el router para que puedan enviar y coger correo.
>
> He empezado a diseñar mi script y he conseguido solo esto en claro
>
> #Limpieza de reglas.
> echo -n "@ Limpiando reglas iptables: "
> iptables -F
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -X
> iptables -Z
> echo "ok."
>
> #Cargando módulos.
> echo -n "@ Cargando módulos: "
> /sbin/depmod -a
> modprobe ip_tables
> modprobe ip_conntrack
> modprobe iptable_filter
> modprobe ipt_state
> modprobe ipt_LOG
> echo "ok."
>
> #Política por defecto.
> echo -n "@ Aplicando política: "
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> echo "ok."
>
> #Interfaz lo.
> echo -n "@ Interfaz lo: "
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
> echo "ok."
>
> Y hasta aquí me he quedado.
>
> Buscando información he encontrado esto
>
> http://linux.ayuda-gratis.com/consulta/Firewall+IPTables+para+dejar+pasa
> r+el+correo/
>
> Y viendo esto quería saber que tenia que hacer para hacer correr
> iptables, la otra pagina que encontré era para dar acceso a Internet
> total, yo eso no lo quiero simplemente quiero redirigir esos 2 puertos.
>
> Cito lo que pone en la pagina:
> Firewall IPTables para dejar pasar el correo:
>
> Simplemente necesitas eliminar el bloqueo en el firewall de los
> puertos 25 y 110. Si es necesario redireccionar el tráfico en estos
> puertos, la receta es la siguiente:
>
> iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to
> email_ip
> iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to
> email_ip
>
> En email_ip deberia ser el router, 192.168.0.1?¿
> Supongo que para hacer eso debere usar el nat, iptables -F -t nat, es
> esta regla ??
>
> Por ultimo pedir perdon por el tostón, y las prisas, y deciros que a
> pocas horas puedo tocar el servidor ya que siempre esta activo, por lo
> tanto cualquier cosa que haga mal puedo liarla, jejejjee, de ahí, que
> alguien me corrija y me ayude a ver el cielo de otro color, jejeje.
>
> Gracias anticipadas
>
Hola, por empezar deberías de leer un poco más sobre iptables si queres
usar scripts tuyos (o de otros modificados por vos), ya que en 'iptables
-F -t nat' lo que hace es limpiar (-F) la tabla de NAT (-t nat)
Después por lo que veo es que acceden a internet por un proxy (squid)
pero este no sirve para el correo, que para este caso te conviene hacer
NAT con Enmascaramiento (Masquerading) y con eso ya soluciona el
problema para la gran mayoría de los protocolos, pero si lo queres más
restringido al servicio vas a tener que poner filtros sobre que dejar
pasar o no.
Te recomiendo que utilices algún script de firewall (con nat por
supuesto) como el paquete 'ipmasq' o el Firewall-Jay:
http://firewall-jay.sf.net
o el Easy Firewall Generator el cual es un formulario web que te crea un
script de iptables a medida y lo usas directamente al levantar la
interfaz de internet:
http://easyfwgen.morizot.net/gen/index.php
Espero que te sirva
Saludos
--
Anibal "Kia" Fenoglio
Córdoba - Argentina
ICQ: 24950258
Jabber: anifeno@jabber.org
Correo-e: anibalf@gmail.com
Blog: http://anibalf.blogspot.com
http://www.16-bits.com.ar
GPG id: B02DED4A
Reply to: