Re: reglas de cisco con iptables

[Carlos Moreira <carlos.moreira@imcanelones.gub.uy>]

Miguel Da Silva - Centro de Matemática escribió:
> Carlos Moreira escreveu:
> > Daniel escribió:
> > > A lo mejor sería conveniente que explicaras que hace cada una para 
> > > que quien no entienda lo que significan te puedan ayudar en la 
> > > traducción. Tal y como lo preguntas estás obligando a que solo te 
> > > pueda ayudar alguien que conozca las reglas de cisco y las de 
> > > iptables a la vez.
> > >
> > > Di qué quiere decir cada una y seguro que hay mucha gente que sabe 
> > > como hacer lo que quieres con iptables.
> > >
> > > También ayuda si explicas un poco como está tu infraestructura de 
> > > red. Lo dicho, cuantos más datos mejor.
> > >
> > > El día 3 de julio de 2008 18:15, Carlos Moreira 
> > > <carlos.moreira@imcanelones.gub.uy 
> > > <mailto:carlos.moreira@imcanelones.gub.uy>> escribió:
> > >
> > >     Buenas, les comento que estoy intentando cambiar mi firewall
> > >     cisco, por
> > >     uno con linux e iptables, pero estoy complicado con la 
> > > traduccion de
> > >     algunas reglas, alguno tiene idea como podria escribir las 
> > > siguientes
> > >     reglas en cisco, pasarlas a iptables??
> > >     gracias
> > >
> > >     static (inside,outside) 10.254.0.226 <http://10.254.0.226>
> > >     10.1.1.13 <http://10.1.1.13> netmask 255.255.255.255
> > >     <http://255.255.255.255> 0 0
> > >
> > >     conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq 
> > > www any
> > >
> > >     outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0
> > >     <http://0.0.0.0> 143 tcp
> > >
> > >     route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
> > >     <http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
> > >
> > >
> > >     --     To UNSUBSCRIBE, email to
> > >     debian-user-spanish-REQUEST@lists.debian.org
> > >     <mailto:debian-user-spanish-REQUEST@lists.debian.org>
> > >     with a subject of "unsubscribe". Trouble? Contact
> > >     listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
> >
> > Tenes, razón. Asi que intento explicarlas un poco,
> >
> > static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13 
> > <http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
> > esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 
> > me lo natee a la 10.1.1.13
> >
> >
> > conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
> > aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto 
> > www (80)
> >
> >
> > outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0> 
> > 143 tcp
> > esta me permite pasar por el puerto 143 desde cualquier ip con la que 
> > yo venga
> >
> >
> > route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0 
> > <http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
> > y esta no tengo mucha idea, pero creo que me routea lo que venga 
> > desde la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien 
> > claro.
> >
> >
> > les comento que lo que tengo configurado es una red con DMZ, osea, 
> > tengo mi red interna, con las sub-redes 10.1.1.x, 10.1.2.x, etc, 
> > luego tengo el firewall cisco que es el que quiero cambiar, tengo la 
> > DMZ, en la sub red 10.254.0.x, y un firewall externo entre la DMZ y 
> > el resto del mundo.
>
> Buenas!!!
>
> Me tomo la libertad de contestarte directamente a tu mail porque 
> parece ser que estamos en el mismo país. No digo que somos 
> conterraneos porque soy brasileño. ;)
>
> Así que la intendencia de Canelones va a dejar de usar el firewall 
> Cisco?! De ellos solo conozco a los routers y son muy buenos. En 
> Facultad de Ingeniería y Facultad de Ciencias hay instalados unos 
> equipos de estos y cumplen su trabajo de maravilla!!!
>
> Pero dejemos la charla y vamos a lo que interesa:
>
> > static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13
> > <http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
> > esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 me
> > lo natee a la 10.1.1.13
>
> iptables -A PREROUTING -t nat -s 10.254.0.226 -j DNAT --to 10.1.1.13
>
> > conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
> > aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto 
> www (80)
> >
>
> iptables -A INPUT -i <interface_de_entrada> -s 10.254.0.231 
> --destination-port 80 -j ACCEPT
>
>
> > outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0>
> > 143 tcp
> > esta me permite pasar por el puerto 143 desde cualquier ip con la 
> que yo
> > venga
>
> iptables -A INPUT -i <interface_de_entrada> --destination-port 143 -j 
> ACCEPT
>
> >
> > route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
> > <http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
> > y esta no tengo mucha idea, pero creo que me routea lo que venga desde
> > la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien claro.
>
> Entonces eso ya no es tema de iptables, pero sí de iproute2.
>
>
> Espero que te ayude, pero fijate que no es para nada algo definitivo. 
> Hay que agregar más reglas y armarlas de manera de manera que no 
> quedan agujeros. Iptables funciona de manera tal que la primer regla 
> que "matchea", es la que se aplica. Además, como dice el nombre, 
> funciona a base de tablas (filter, nat y mangle).
>
> Otro punto es ver como rellenar a <interface_de_entrada> porque es 
> aqui donde decís en que "dirección" vas a aplicar el firewall.
>
> Si hay dudas, mandame un mail que vamos resolviendo eso.
>
> Un abrazo.

iptables -A FORWARD -m state --state NEW -s 10.254.0.230 --dport 1352 -j 
ACCEPT
iptables -t nat -A PREROUTING -s 10.254.0.230  --dport 1352 -j DNAT 
--to-destination 10.1.1.20:1352
iptables -t nat -A POSTROUTING -s 10.1.1.20 --sport 1352 -o $DEV_DMZ -d 
10.254.0.230 -j SNAT --to-source 10.254.0.230

A ver.. primero te cuento que estamos migrando todos los servidores a 
Linux en la Intendencia de Canelones, ya pasamos el servidor de correo 
de exchange a qmail, los controladores de dominio de server 2000 a samba 
y ldap, la base de datos estamos migrandola de Oracle a MySQL, por ahora 
nos quedan en Oracle, solo algunos sistemas que fueron comprados llave 
en mano por la administracion pasada, y que no podemos migrar todavia, 
pero ya nos vamos a desacer de esos sistemas y poder implementar 
desarrollos propios, sobre mysql.
Pero bueno, ahora volviendo al tema... jeje

estas tres reglas que escribí arriba lo que intentan hacer es:
aceptar toda conexion nueva que venga desde la 10.254.0.230 por el 
puerto 1352
toda conexion con origen 10.254.0.230 por el puerto 1352 me la mande al 
10.1.1.20 por el puerto 1352
toda conexion que venga de la 10.1.1.20 por el puerto 1352 desde la 
tarjeta de red que tengo hacia afuera con destino 10.254.0.230 me la 
mande efetivamente a esa ip.


esta bien como estoy escribiendo las reglas y como intento dejar pasar 
de un lado para el otro del firewall todas las conexiones desde y hacia 
el servidor 10.1.1.20 por el puerto 1352??

gracias