Carlos Moreira escreveu:
Daniel escribió:
A lo mejor sería conveniente que explicaras que hace cada una para
que quien no entienda lo que significan te puedan ayudar en la
traducción. Tal y como lo preguntas estás obligando a que solo te
pueda ayudar alguien que conozca las reglas de cisco y las de
iptables a la vez.
Di qué quiere decir cada una y seguro que hay mucha gente que sabe
como hacer lo que quieres con iptables.
También ayuda si explicas un poco como está tu infraestructura de
red. Lo dicho, cuantos más datos mejor.
El día 3 de julio de 2008 18:15, Carlos Moreira
<carlos.moreira@imcanelones.gub.uy
<mailto:carlos.moreira@imcanelones.gub.uy>> escribió:
Buenas, les comento que estoy intentando cambiar mi firewall
cisco, por
uno con linux e iptables, pero estoy complicado con la
traduccion de
algunas reglas, alguno tiene idea como podria escribir las
siguientes
reglas en cisco, pasarlas a iptables??
gracias
static (inside,outside) 10.254.0.226 <http://10.254.0.226>
10.1.1.13 <http://10.1.1.13> netmask 255.255.255.255
<http://255.255.255.255> 0 0
conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq
www any
outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0
<http://0.0.0.0> 143 tcp
route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
<http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
-- To UNSUBSCRIBE, email to
debian-user-spanish-REQUEST@lists.debian.org
<mailto:debian-user-spanish-REQUEST@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
Tenes, razón. Asi que intento explicarlas un poco,
static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13
<http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
esto lo que me dice es que todo lo que venga por la ip 10.254.0.226
me lo natee a la 10.1.1.13
conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto
www (80)
outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0>
143 tcp
esta me permite pasar por el puerto 143 desde cualquier ip con la que
yo venga
route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
<http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
y esta no tengo mucha idea, pero creo que me routea lo que venga
desde la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien
claro.
les comento que lo que tengo configurado es una red con DMZ, osea,
tengo mi red interna, con las sub-redes 10.1.1.x, 10.1.2.x, etc,
luego tengo el firewall cisco que es el que quiero cambiar, tengo la
DMZ, en la sub red 10.254.0.x, y un firewall externo entre la DMZ y
el resto del mundo.
Buenas!!!
Me tomo la libertad de contestarte directamente a tu mail porque
parece ser que estamos en el mismo país. No digo que somos
conterraneos porque soy brasileño. ;)
Así que la intendencia de Canelones va a dejar de usar el firewall
Cisco?! De ellos solo conozco a los routers y son muy buenos. En
Facultad de Ingeniería y Facultad de Ciencias hay instalados unos
equipos de estos y cumplen su trabajo de maravilla!!!
Pero dejemos la charla y vamos a lo que interesa:
> static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13
> <http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
> esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 me
> lo natee a la 10.1.1.13
iptables -A PREROUTING -t nat -s 10.254.0.226 -j DNAT --to 10.1.1.13
> conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
> aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto
www (80)
>
iptables -A INPUT -i <interface_de_entrada> -s 10.254.0.231
--destination-port 80 -j ACCEPT
> outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0>
> 143 tcp
> esta me permite pasar por el puerto 143 desde cualquier ip con la
que yo
> venga
iptables -A INPUT -i <interface_de_entrada> --destination-port 143 -j
ACCEPT
>
> route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
> <http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
> y esta no tengo mucha idea, pero creo que me routea lo que venga desde
> la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien claro.
Entonces eso ya no es tema de iptables, pero sí de iproute2.
Espero que te ayude, pero fijate que no es para nada algo definitivo.
Hay que agregar más reglas y armarlas de manera de manera que no
quedan agujeros. Iptables funciona de manera tal que la primer regla
que "matchea", es la que se aplica. Además, como dice el nombre,
funciona a base de tablas (filter, nat y mangle).
Otro punto es ver como rellenar a <interface_de_entrada> porque es
aqui donde decís en que "dirección" vas a aplicar el firewall.
Si hay dudas, mandame un mail que vamos resolviendo eso.
Un abrazo.