[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Reglas de IPtables para subredes e internet

El 21/12/06, Miguel Da Silva - Centro de
Matemática<mdasilva@mordred.cmat.edu.uy> escribió:

andres sarmiento wrote:
> Hola amigos, publico nuevamente mi pregunta debido a que sigo con el
> problema, osea más que un problema es un necesidad que tengo.
> Actualmente en mi trabajo hay 6 sectores los cuales los separe en 6
> redes diferentes:
>
> Subred 1: 192.168.2.0/24-->GW-->192.168.2.254 -> eth2
> Subred 2: 192.168.3.0/24-->GW-->192.168.3.254 ->eth2:0
> Subred 3: 192.168.4.0/24-->GW-->192.168.4.254 ->eth2:1
> Subred 4: 192.168.5.0/24-->GW-->192.168.5.254 ->eth2:2
> Subred 5: 192.168.6.0/24-->GW-->192.168.6.254 ->eth2:3
>
> Enlace Adsl: conectado al Pc con debian con interfaz eth1-> 192.168.0.1
> Script configuración:
>
> #!/bin/sh
> #echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> # haciendo prueba para subred 1 y 2
> iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT
> iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE
> ptables -A INPUT -s 192.168.3.0/24 -i eth2:0 -j ACCEPT
> iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth1 -j MASQUERADE
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
> Actualmente le tengo la anterior configuración y funciona bien, debido
> a que las máquinas tienen internet, PERO lo que yo quiero es que éstas
> redes no se vean entre sí, y en lo posible aplicar políticas DROP,
> pero he leído tanto manual de IPtables que cuando pruebo algunas
> posibles alternativas, , en realidad no es lo que busco (lo que les he
> comentado hace poco).
>
> La otra solución creo que puede ser dejar por defecto la política
> ACCEPT e ir restringiendo PING, y también para que no vean los
> recursos compartidos pero no sé como, si alguien tiene un buen manual
> o script que pueda hacer lo que necesito lo agradezco.
> Saludos Cordiales
>

Estás permitiendo el FORWARD de cualquier paquete que pase por esa
máquina, así que los paquetes pasan de una red a otra diferente sin
problemas.

Porque no escribís reglas que prohiban el tránsito de paquetes entre las
redes distintas? O que ponga la política de FORWARD por defecto como
DROP y que deje pasar solamente lo que concierne a NAT.

Mejor manual que el famoso Iptables Tutorial de Oskar Andreasson es
dificil de encontrar :)

Suerte.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



Gracias miguel por responder, pero como puedo saber que regla me
permita sólo dejar el tráfico NAT y que lo demás lo deniegue? :-(
PD: Me estoy bajando el manual oficial en inglés...
Saludos cordiales
Reply to: