Re: IPtables --> Router y Firewall
Hola, no se si lo hiciste (no estaba indicado aca) pero para hacer q
tu box linux rutee debes decirle al kernel q lo haga
echo 1 > /proc/sys/net/ipv4/ip_forward o en
/etc/network/options cambia
ip_forward=no a ip_forward=yes
El mar, 11-01-2005 a las 14:08 +0100, Chechu escribió:
> Hola ...e sla priemra vez que escribo a esta lista ...a ver si m pueden
> ayudar...tengo una reddispuesta de la siguiente forma
>
> INTERNET
> |
> router1 |eth0(192.168.1.1)
> |
> |
> eth0(192.168.1.2)Ironpc3-->QoS, Router y Firewall-->(192.168.2.5)eth1
> |
> |
> router2 |eth1(192.168.2.1)
> |
> ____|_____
> | |
> | |
> (192.168.2.3)Ironpc1 Ironpc2(192.168.2.4)
>
> El archivo /etc/network/interfaces esta configurado asi en Ironpc3
> # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)
>
> # The loopback interface
> auto lo
> iface lo inet loopback
>
> # The first network card - this entry was created during the Debian
> installation
> # (network, broadcast and gateway are optional)
> auto eth1
> iface eth1 inet static
> address 192.168.2.5
> netmask 255.255.255.0
> network 192.168.2.0
> broadcast 192.168.2.255
> gateway 192.168.2.1
> auto eth0
> iface eth0 inet static
> address 192.168.1.2
> netmask 255.255.255.0
> network 192.168.1.0
> broadcast 192.168.1.255
> gateway 192.168.1.1
> En IronPc1
>
> auto eth0
> iface eth0 inet static
> address 192.168.2.3
> netmask 255.255.255.0
> network 192.168.2.0
> broadcast 192.168.2.255
> gateway 192.168.2.5
> Y en Ironpc2 hay instala w2k con pasarela(gateway) a 192.168.2.5
>
> Entonces lo que intento conseguir es que IronPc2 solo tenga acceso a los
> puertos de internet correo y kazaa, Ironpc1 no tenga ninguna limitacion
> y Ironpc3 pueda descargar de Amule y bitorrent balanceando la conexion
> con QoS mediante el script de Wondershaper.
>
> Acabo de empezar a manejar iptables, y hesacado de un manual el
> siguiente script que he adaptado un poco....pero que ni aun asi m
> funciona
>
> #!/bin/sh
> ## SCRIPT de IPTABLES - ejemplo del manual de iptables
> ## Ejemplo de script para firewall entre red-local e internet
> ## con filtro para que solo se pueda navegar.
> ## Pello Xabier Altadill Izura
> ## www.pello.info - pello@pello.info
>
> echo -n Aplicando Reglas de Firewall...
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> ## Empezamos a filtrar
> ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
> # El localhost se deja (por ejemplo conexiones locales a mysql) Esto la
> #verdad que no entiendo pork lo hace
> /sbin/iptables -A INPUT -i lo -j ACCEPT
>
> # Al firewall tenemos acceso desde un solo pc de la red local
> iptables -A INPUT -s 192.168.2.1 -i eth1 -j ACCEPT
>
> ## Ahora con regla FORWARD filtramos el acceso de la red local
> ## al exterior. Como se explica antes, a los paquetes que no van
> ##dirigidos al
> ## propio firewall se les aplican reglas de FORWARD
>
> # Aceptamos que vayan a puertos 80
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 80 -j ACCEPT
> # Aceptamos que vayan a puertos https
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 443 -j
> ACCEPT
>
> # Aceptamos que consulten los DNS
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p udp --dport 53 -j ACCEPT
>
> # Aceptamos El bittorent(8990/8999) de IronPc3 y el amule(tcp 8890 y udp
> # 8892)
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8990:8999 -j
> ACCEPT
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8890 -j
> ACCEPT
> iptables -A FORWARD -s 192.168.1.2 -i eth0 -p udp --dport 8892 -j ACCEPT
>
> #Habria que abrir los de correo para Ironpc2
>
> # Y denegamos el resto. Si se necesita alguno, ya avisaran
> iptables -A FORWARD -s 192.168.2.4 -i eth1 -j DROP
>
> # Ahora hacemos enmascaramiento de la red local
> # y activamos el BIT DE FORWARDING (imprescindible!!!!!)
> iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j MASQUERADE
>
> # Con esto permitimos hacer forward de paquetes en el firewall, o sea
> # que otras máquinas puedan salir a traves del firewall.
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> ## Y ahora cerramos los accesos indeseados del exterior:
> # Nota: 0.0.0.0/0 significa: cualquier red
>
> # Cerramos el rango de puerto bien conocido
> iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
>
> # Cerramos un puerto de gestión: webmin
> iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
>
> echo " OK . Verifique que lo que se aplica con: iptables -L -n"
>
> # Fin del script
>
> No selo que falla exactamente, creo que aparte de que el scripteste mal
> me faltan un parde lineas para hacer que el pc funcione como router
> gracias
>
>
>
--
Debian GNU/Linux
Administrador de Sistemas
Mi clave publica gpg la encuentras en:
http://www.cfrd.cl/~mario/pub.gpg
Reply to: