Re: Reglas de IPtables para subredes e internet

To: debian-user-spanish@lists.debian.org
Subject: Re: Reglas de IPtables para subredes e internet
From: Miguel Da Silva - Centro de Matemática <mdasilva@cmat.edu.uy>
Date: Thu, 21 Dec 2006 17:39:27 -0200
Message-id: <[🔎] 1166729967.458ae2ef30a2b@webmail.cmat.edu.uy>
In-reply-to: <[🔎] 78f032e90612210509o382eebf1m6084037e5712b00c@mail.gmail.com>
References: <[🔎] 78f032e90612210342jf9530c0qb88e9b60b369efe6@mail.gmail.com> <[🔎] 458A799A.2050603@mordred.cmat.edu.uy> <[🔎] 78f032e90612210509o382eebf1m6084037e5712b00c@mail.gmail.com>

Quoting andres sarmiento <coolpixgnu@gmail.com>:

> > > ## FLUSH de reglas
> > > iptables -F
> > > iptables -X
> > > iptables -Z
> > > iptables -t nat -F
> > >
> > > ## Establecemos politica por defecto
> > > iptables -P INPUT ACCEPT
> > > iptables -P OUTPUT ACCEPT
> > > iptables -P FORWARD ACCEPT
> > > iptables -t nat -P PREROUTING ACCEPT
> > > iptables -t nat -P POSTROUTING ACCEPT
> > > # haciendo prueba para subred 1 y 2
> > > iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT
> > > iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE
> > > ptables -A INPUT -s 192.168.3.0/24 -i eth2:0 -j ACCEPT
> > > iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth1 -j MASQUERADE
> > > echo 1 > /proc/sys/net/ipv4/ip_forward

> Gracias miguel por responder, pero como puedo saber que regla me
> permita sólo dejar el tráfico NAT y que lo demás lo deniegue? :-(
> PD: Me estoy bajando el manual oficial en inglés...
> Saludos cordiales

Una solución sería poner como DROP la política por defecto de la cadena FORWARD
y agregar un regla para cada red que permita pasar los paquetes que vegan de la
red en cuestión y que tengan como interface de salida la eth1 (esa regla iría en
la cadena FORWARD y sería una para cada red). Además hay que agregar las reglas
para hacer NAT.

Dejé las reglas que estás usando por lo seguiente: si tenés ACCEPT como política
por defecto de una cadena, cualquier regla que tenga ACCEPT como acción a ser
tomada estará sobrando. Las que tienen MASQUERADE no.

La sintaxe de las reglas podés conseguir siguiendo el Iptables Tutorial, hay
ejemplos sobre como hacer NAT.

Si entendi bien, lo que querés es hacer NAT y que además no se vean las redes,
entonces hacés NAT para cada red normalmente y además bloqueas el tránsito de
paquetes entre las redes.

Suerte y saludos.

--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Reply to:

References:
- Reglas de IPtables para subredes e internet
  - From: "andres sarmiento" <coolpixgnu@gmail.com>
- Re: Reglas de IPtables para subredes e internet
  - From: Miguel Da Silva - Centro de Matemática <mdasilva@mordred.cmat.edu.uy>
- Re: Reglas de IPtables para subredes e internet
  - From: "andres sarmiento" <coolpixgnu@gmail.com>

Prev by Date: Re: Problema con md5sum.txt (?) al instalar Debian Etch (weekly-build 2006-12-11)
Next by Date: Re: Problema con md5sum.txt (?) al instalar Debian Etch (weekly-build 2006-12-11)
Previous by thread: Re: Reglas de IPtables para subredes e internet
Next by thread: insisto con mi problema de ALSA
Index(es):
- Date
- Thread