On 5/12/05, Leo <buji@datfull.com> wrote:
Pedro Pozuelo wrote:
On 4/29/05, Javi <el_angel@fibertel.com.ar> wrote:
El jue, 28-04-2005 a las 23:41 -0300, Leo escribió:
Hola Lista.
Tengo dos cuestiones que no he podido resolver con iptables.
He leido unos cuantos apuntes al respecto, y si bien me he enterado de
muchas cosas, no he podido dar con alguno que me indique puntualmente
como solucionar lo que a continuación les detallo.
- Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a
la pc que comparte internet), pero si trato de conectarme a una de las
pc internas con esto:
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \
--to 192.168.0.111:22
No puedo hacerlo.
Te falta redireccionar, cadena de forward.
Además de que te falta permitir el tráfico con una cadena FORWARD,
¿cómo va a saber el firewall a cual de los PCs intentas conectarte?.
Tendrás que usar otro puerto de entrada para el otro PC, ¿no?
Dejando lo del forward de lado, ya que por distintas razones no puedo
probar, no entiendo lo que dices de que "como va a saber el firewall a
cual de los pcs...", eso esta bien claro.
No puedes dejar lo de FORWARD al lado. Para que te hagas una idea,
para cada servicio o puerto que quieras enrutar:
1º Necesitas redireccionar el tráfico con la regla que tú mismo has puesto:
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT
--to 192.168.0.111:22
2º Dudo que tengas las reglas de FORWARD por defecto en ACCEPT porque
es una locura. Así que tendrás que permitir el tráfico que en la regla
anterior has enrutado:
iptables -A FORWARD -s x.x.x.x -d 192.168.0.111 --dport 22 -j ACCEPT
Con "como va a saber el firewall a cual de los pcs...", creo que no me
expresé nada bien.
Me refería a que si redireccionas el tráfico SSH a la máquina
192.168.0.111 no podrás conectarte al PC en el que estamos definiendo
estas reglas por SSH. Y bajo mi punto de vista limita tu capacidad
para administrarlo remotamente. Pero vamos, que lo puedes dejar así y
no hay ningún problema... no sé si me explico.
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \
--to 192.168.0.111:22
La ip desde la cual trato de conectarme es x.x.x.x y a la cual quiero llegar es 192.168.0.111
Alguien sabe que puede estar mal en mi script de iptables que no me
permite hacer estas redirecciones?
forward
Por último, hace poco le he añadido una nueva interfaz de red de mi
gateway para poder separar una red en 2 distintas.
Esto funciona perfecto, pero no encuentro la manera de evitar que desde
una de las redes puedan acceder a la otra.
Oportunamente un compañero de esta lista me indicó lo siguiente:
iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
Pero no logro "separar" ambas redes?
Alguien tiene una pista de lo que puede estar pasando?
nop :(
Presiento que lo que realmente necesitas es una regla de FORWARD, de
hecho 2 reglas (una para cada red):
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP
Por cierto, ten en cuenta que los paquetes van comparandose con las
reglas dependiendo de el orden en el que las tengas. Prueba a poner
estas reglas antes (lo más arriba posible del script despues de los
FLUSH)) a ver qué tal.
Ok. Gracias Pedro.
Muchas Gracias.
Salu2.
--- Dat1.net ---
[Este mail fue controlado con Declude Virus/F-Prot]
Creo que leyendo solo la lista se hubiera respondido la pregunta, si no
me equivoco te falta la cadena forward
o sea asi como haces el prerouting hace el forward (si tenes dos placas
en el firewall, seguramente).
sino no te entendi, disculpame
Saludos.
Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a
alguien que quería cambiar el puerto de SSH y es lo mismo que
necesitas tú. Lo digo sin acritud, pero creo que hay que leer y buscar
más antes de preguntar.
Me auto copio ;-) :
En el firewall dar permiso a las conexiones:
iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT
--to 192.168.1.2:22
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
[Nuevo_puerto] es el puerto que deberás especificar en el cliente
cuando intentas conectarte al PC de dentro de la LAN
192.168.1.2 es la IP del PC al que intentas conectarte de la LAN
:D
--
Javi.
Linux registered number 354635
--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pedro, antes que nada gracias por tu respuesta.
Te respondo recién ahora porque no había visto este mensaje. (te voy
respondiendo debajo de tus opiniones).
Ok, espero que con lo que te he dicho puedas solucionarlo, pero como
ya dije tienes la respuesta a un par de busquedas de google.
Por último, por favor no respondas a mi email personal, que para eso
ya tenemos la lista.
Un saludo,
--- Dat1.net ---
[Este mail fue controlado con Declude Virus/F-Prot]