Re: ayuda con iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: ayuda con iptables
From: Antonio Trujillo Carmona <trujo@dti2.net>
Date: Tue, 04 Oct 2005 19:23:59 +0200
Message-id: <[🔎] 1128446639.8076.18.camel@abajo>
In-reply-to: <[🔎] 200510040953.18767.francisco@biblioteca.dgb.umich.mx>
References: <[🔎] 20051004005137.M62281@biblioteca.dgb.umich.mx> <[🔎] 200510040711.59459.francisco@biblioteca.dgb.umich.mx> <86bb894d0510040635va6ababbh@mail.gmail.com> <[🔎] 200510040953.18767.francisco@biblioteca.dgb.umich.mx>

El mar, 04-10-2005 a las 09:52 -0500, LSC. Francisco Javier Ferreyra
López escribió:
> El Martes, 4 de Octubre de 2005 08:35, Dnebla escribió:
> > Has habilitado el forwardeo de paquetes ?
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > Saludos .
> >
> > 2005/10/4, LSC. Francisco Javier Ferreyra López <
> >
> > francisco@biblioteca.dgb.umich.mx>:
> > > >Buenas noches, necesito ayuda de manera explicita, agradecere sus
> > >
> > > comentarios
> > >
> > > >tengo montado un firewall protegiendo mis servidores, uno de ellos de
> > >
> > > correo,
> > >
> > > >tengo instalado squirrelmail y exim, empezando a probar mi firewall con
> > >
> > > reglas
> > >
> > > >accept por default todo funciona de maravilla, recibo y envio mail sin
> > > >problemas cuando pongo las politicas input output y forward en drop y
> > > >prerouting y postroutin en accept con las siguientes reglas para mail
> > > >
> > > >## Publicamos el correo electronico
> > > >iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 <http://0.0.0.0/0> --sport
> > >
> > > 1024:65535 -d
> > >
> > > >ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT
> > > >iptables -t nat -A PREROUTING -i eth0 -p tcp -s
> > > > 0.0.0.0/0<http://0.0.0.0/0>--dport 25 -j DNAT --to-destination
> > > > 192.168.1.2:25 <http://192.168.1.2:25>
> > > >
> > > >donde 192.168.1.2 <http://192.168.1.2> es mi servidor de mail
> > > >ip_publica_del_fw es la ip de la etho de mi fw
> > > >192.168.1.1 <http://192.168.1.1> es la ip de la eth1 de mi fw
> > > >
> > > >si puedo recibir correos pero no envio, vi por ahi que tenia que poner
> > >
> > > una
> > >
> > > >regla forward para mi server de mail de esta forma
> > > >
> > > >iptables -A FORWARD -d 192.168.1.2 <http://192.168.1.2> -p tcp --dport
> > > > 25
> > >
> > > -j ACCEPT
> > >
> > > >iptables -A FORWARD -s 192.168.1.2 <http://192.168.1.2> -p tcp --sport
> > > > 25
> > >
> > > -j ACCEPT
> > >
> > > >pero sigue igual, mi pregunta es que regla o reglas me hacen falta para
> > >
> > > poder
> > >
> > > >enviar correos desde mi servidor a internet?
> > >
> > > El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió:
> > > > En principio si tienes ACCEPT por defecto sin poner nada ya te acepta
> > > > la conexion...
> > > > Otro tema es que tengas un servidor SMTP corriendo en la maquina
> > >
> > > firewall.
> > >
> > > > Si no es asi, tienes que redireccionar (con DNAT) a la maquina
> > > > servidora SMTP.
> > > >
> > > > Salud!!
> > > >
> > > > --
> > > > Todo lo que se funda en la fuerza es frágil y denota la ausencia del
> > > > ingenio.
> > > > El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático
> > > > orgullo de ricos, sino el egoísmo indisciplinado de los pobres.
> > > > Quitar a otros su libertad, es renunciar vilmente a la suya; porque no
> > >
> > > hay
> > >
> > > > mas torpe esclavitud, que la de ser jefe de esclavos.
> > >
> > > ok, creo que no me explique bien, cuando tengo las reglas por defecto en
> > > accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y
> > > recibir correo correctamente el problema es cuando pongo las politicas
> > > por defecto drop, es ahi cuando si puedo recibir correo ya que con esta
> > > regla
> > >
> > > iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 <http://0.0.0.0/0> --sport
> > > 1024:65535 -d
> > > ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT
> > >
> > > me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con
> > > esta
> > > otra
> > >
> > > iptables -t nat -A PREROUTING -i eth0 -p tcp -s
> > > 0.0.0.0/0<http://0.0.0.0/0>--dport 25 -j DNAT --to-destination
> > > 192.168.1.2:25 <http://192.168.1.2:25>
> > >
> > > redirecciono las peticiones al servidor smnp que tengo en mi zona
> > > protegida,
> > > ahora bien que reglas utilizaria para poder decirle que todo el correo
> > > saliente de 192.168.1.2 <http://192.168.1.2> puerto 25 me imagino lo
> > > aviente hacia internet y
> > > pueda mandar correos ya que como vuelvo a repetir solamente recibo.
> 
> el forwardin esta activado por default, alguna otra sugerencia please
Por lo completas que son las reglas de iptables creo que sabes mas del
tema que yo, pero como reflexionar en voz alta ayuda a pensar vamos aya.
Yo, en mi cortafuegos, tengo puestas las politicas de salida en
"ACCEPT", esto es de internet a cualquier sitio "DROP" del cortafuegos a
mi red "REJECT" y de mi red a cualquier sitio ACCEPT, esto esta bien
salvo que quieras evitar la salida desde tu red a internet (yo en mi
casa como no estoy paranoico no me prohíbo cosas).
Creo que con:
iptables -A FORWARD -i eth1 -j ACCEPT
estas permitiendo todo el transito que entre desde la eth1 (tu red
interna)
-- 
Antonio Trujillo Carmona <trujo@dti2.net>

Reply to:

References:
- ayuda con iptables
  - From: "LSC. Francisco Javier Ferreyra Lopez" <francisco@biblioteca.dgb.umich.mx>
- Re: ayuda con iptables
  - From: "LSC. Francisco Javier Ferreyra López" <francisco@biblioteca.dgb.umich.mx>
- Re: ayuda con iptables
  - From: "LSC. Francisco Javier Ferreyra López" <francisco@biblioteca.dgb.umich.mx>

Prev by Date: Re: Backup de repositorios
Next by Date: Re: Como configurar Debian/Linux a un router DSL
Previous by thread: Re: ayuda con iptables
Next by thread: Re: ayuda con iptables RESUELTO
Index(es):
- Date
- Thread