[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema con iptables

On 5/12/05, Leo <buji@datfull.com> wrote:
> Pedro Pozuelo wrote:
> 
> >On 4/29/05, Javi <el_angel@fibertel.com.ar> wrote:
> >
> >
> >>El jue, 28-04-2005 a las 23:41 -0300, Leo escribió:
> >>
> >>
> >>>Hola Lista.
> >>>
> >>>Tengo dos cuestiones que no he podido resolver con iptables.
> >>>
> >>>He leido unos cuantos apuntes al respecto, y si bien me he enterado de
> >>>muchas cosas, no he podido dar con alguno que me indique puntualmente
> >>>como solucionar lo que a continuación les detallo.
> >>>
> >>>- Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a
> >>>la pc que comparte internet), pero si trato de conectarme a una de las
> >>>pc internas con esto:
> >>>
> >>>iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \
> >>>           --to 192.168.0.111:22
> >>>
> >>>No puedo hacerlo.
> >>>
> >>>
> >>>
> >>Te falta redireccionar, cadena de forward.
> >>
> >>
> >
> >Además de que te falta permitir el tráfico con una cadena FORWARD,
> >¿cómo va a saber el firewall a cual de los PCs intentas conectarte?.
> >Tendrás que usar otro puerto de entrada para el otro PC, ¿no?
> >
> >
> Dejando lo del forward de lado, ya que por distintas razones no puedo
> probar, no entiendo lo que dices de que "como va a saber el firewall a
> cual de los pcs...", eso esta bien claro.

No puedes dejar lo de FORWARD al lado. Para que te hagas una idea,
para cada servicio o puerto que quieras enrutar:

1º Necesitas redireccionar el tráfico con la regla que tú mismo has puesto:
 iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT
--to 192.168.0.111:22

2º Dudo que tengas las reglas de FORWARD por defecto en ACCEPT porque
es una locura. Así que tendrás que permitir el tráfico que en la regla
anterior has enrutado:
iptables -A FORWARD -s x.x.x.x -d 192.168.0.111 --dport 22 -j ACCEPT

Con "como va a saber el firewall a cual de los pcs...", creo que no me
expresé nada bien.
Me refería a que si redireccionas el tráfico SSH a la máquina
192.168.0.111 no podrás conectarte al PC en el que estamos definiendo
estas reglas por SSH. Y bajo mi punto de vista limita tu capacidad
para administrarlo remotamente. Pero vamos, que lo puedes dejar así y
no hay ningún problema... no sé si me explico.


> 
> iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \
>            --to 192.168.0.111:22
> 
> La ip desde la cual trato de conectarme es x.x.x.x y a la cual quiero llegar es 192.168.0.111
> 
> 
> >
> >
> >>>Alguien sabe que puede estar mal en mi script de iptables que no me
> >>>permite hacer estas redirecciones?
> >>>
> >>>
> >>forward
> >>
> >>
> >>>Por último, hace poco le he añadido una nueva interfaz de red de mi
> >>>gateway para poder separar una red en 2 distintas.
> >>>
> >>>Esto funciona perfecto, pero no encuentro la manera de evitar que desde
> >>>una de las redes puedan acceder a la otra.
> >>>
> >>>Oportunamente un compañero de esta lista me indicó lo siguiente:
> >>>
> >>>iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
> >>>
> >>>Pero no logro "separar" ambas redes?
> >>>
> >>>Alguien tiene una pista de lo que puede estar pasando?
> >>>
> >>>
> >>>
> >>nop :(
> >>
> >>
> >
> >Presiento que lo que realmente necesitas es una regla de FORWARD, de
> >hecho 2 reglas (una para cada red):
> >
> >iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
> >iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP
> >
> >Por cierto, ten en cuenta que los paquetes van comparandose con las
> >reglas dependiendo de el orden en el que las tengas. Prueba a poner
> >estas reglas antes (lo más arriba posible del script despues de los
> >FLUSH)) a ver qué tal.
> >
> >
> 
> Ok. Gracias Pedro.
> 
> >
> >
> >>>Muchas Gracias.
> >>>
> >>>
> >>>Salu2.
> >>>
> >>>--- Dat1.net ---
> >>>[Este mail fue controlado con Declude Virus/F-Prot]
> >>>
> >>>
> >>>
> >>Creo que leyendo solo la lista se hubiera respondido la pregunta, si no
> >>me equivoco te falta la cadena forward
> >>o sea asi como haces el prerouting hace el forward (si tenes dos placas
> >>en el firewall, seguramente).
> >>sino no te entendi, disculpame
> >>Saludos.
> >>
> >>
> >
> >Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a
> >alguien que quería cambiar el puerto de SSH y es lo mismo que
> >necesitas tú. Lo digo sin acritud, pero creo que hay que leer y buscar
> >más antes de preguntar.
> >
> >Me auto copio ;-) :
> >
> >En el firewall dar permiso a las conexiones:
> >iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT
> >--to 192.168.1.2:22
> >iptables  -A FORWARD -p tcp --dport 22   -j ACCEPT
> >
> >[Nuevo_puerto] es el puerto que deberás especificar en el cliente
> >cuando intentas conectarte al PC de dentro de la LAN
> >192.168.1.2 es la IP del PC al que intentas conectarte de la LAN
> >
> >
> >
> >
> >
> >>:D
> >>--
> >>Javi.
> >>Linux registered number 354635
> >>
> >>
> >>--
> >>To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> >>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> >>
> >>
> >>
> >>
> >
> >
> >
> >
> >
> Pedro, antes que nada gracias por tu respuesta.
> 
> Te respondo recién ahora porque no había visto este mensaje. (te voy
> respondiendo debajo de tus opiniones).
> 

Ok, espero que con lo que te he dicho puedas solucionarlo, pero como
ya dije tienes la respuesta a un par de busquedas de google.
Por último, por favor no respondas a mi email personal, que para eso
ya tenemos la lista.

Un saludo,



> 
> --- Dat1.net ---
> [Este mail fue controlado con Declude Virus/F-Prot]
> 
>
Reply to: