Re: No funciona iptables
2006/8/24, max <mota.vnz@gmail.com>:
Buenas a todos, tengo el siguiente script en iptables pero lo que no
logro es que las maquinas de mi LAN con ipta 192.168.1.X pueda salir a
la internet. El script del firewall es este:
para empezar son varias las cosas que cambiaria
para simplificar solo defini lo que sale y luego mantenes los permisos
para entrar con estas lineas
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
#!/bin/bash
/sbin/iptables -F INPUT && /sbin/iptables -F OUTPUT && /sbin/iptables
-F FORWARD && /sbin/iptables -F -t nat
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
ante la duda nopondria por default en drop para las prueba
siempre hay tiempo para cambiarlas
/sbin/iptables -A INPUT -i lo -j ACCEPT
estas dos dicen lo mismo
# Todo lo que pase por "lo" es válido
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
#Permitiendo los Pings
/sbin/iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
#permitiendo que los los resolves hacia los DNS de cantv (eso es para
que pueda usar URL)
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
#Permitiendo la navegación web
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
# PERMITIENDO A LAS COMPUTADORAS DE MI LAN
/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
## REGLAS FORWARD
# ETH1 TIENE IP DE LAN, 192.168.1.1 ETH0 IP PÚBLICA
/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 443 -j ACCEPT
y creo que tu problema esta aca no tiene salida -s -i significa fuente y entrada
falta salida -o eth0
# Aceptamos que consulten los DNS
/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp
--dport 53 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Hecho"
-----------
Bien, ese es el script, por lo que veo al menos mis computadoras de la
LAN deberían poder navegar por internet pero la verdad no funciona. Ya
no se que hacer, necesito que me orienten. En las computadoras de la
LAN tengo en el interfaces lo siguiente:
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.1.1 ### FIREWALL
Y el route dice:
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
La verdad ya no se que hacer, necesito que me orienten, la verdad
estoy trabajando con todo como drop para intentar aprender, no quiero
migrar a todo por ACCEPT. Espero que me ayuden Gracias
espero que te sirva
--
MrIX
Linux user number 412793.
http://counter.li.org/
las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inutiles cronicos,
yo no fui, seguro que es mas inteligente.
Reply to: