Re: Problema abriendo NAT de iptables para SSH

To: debian-user-spanish@lists.debian.org
Subject: Re: Problema abriendo NAT de iptables para SSH
From: consul tores <consultores1@gmail.com>
Date: Thu, 28 Jul 2011 06:53:25 -0700
Message-id: <[🔎] CAFxkjq=2xJuVHeyCADHJxH6RxZ41RCaTKpcwaDL4H4mEpVPjhg@mail.gmail.com>
In-reply-to: <[🔎] 1311784336.7901.YahooMailRC@web25402.mail.ukl.yahoo.com>
References: <[🔎] 1311784336.7901.YahooMailRC@web25402.mail.ukl.yahoo.com>

2011/7/27 Gorka Expósito <gorkalinux@yahoo.es>:
> Buenas.
>
> Tengo la siguiente configuración:
>
> router -> 192.168.1.1/16 (ip interna hacia el debian-iptables)
> debian-iptables -> eth0 - 192.168.1.2/16 (hacia el router) y eth2 -
> 10.0.0.1/16 (hacia la lan de una única máquina de pruebas)
> máquina-pruebas -> 10.0.0.46/16 gw 10.0.0.1
>
> Lo que quiero es permitir justo las conexiones SSH a la máquina-pruebas
> desde internet (y que la máquina-pruebas navegue por internet, claro).
>
> Este es el script de configuración de iptables:

En cual ip o eth?

Solo para confundirte:
Entrada all gateway (192.168.1.1); haces nat hacia 192.168.1.2 (eth0
entrada al firewall) de alli, haces forward y nat a 10.0.0.1 (eth2
salida firewall) luego haces nat hacia 10.0.0.46

De regreso:
La 10.0.0.46 sale por 10.0.0.1
la 10.0.0.1 hace nat y forward hacia 192.168.1.2
la 192.168.1.2 hace nat hacia 192.168.1.1 y sale a internet.

Espero haber entendido tu escenario.

> #Destination NAT, envia peticiones 22 al 22 de la IP interna
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT
> --to-destination 10.0.0.46:22
>
> #Habilito el NAT, permite a la red interna salir a internet
>
> iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -d 0.0.0.0/0 -j
> MASQUERADE
>
> # Dejo pasar los paquetes ICMP
>
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
>
> # Permito conexiones al puerto 22 (SSH)
>
> iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT
>
> # Acepto paquetes de conexiones ya establecidas
>
> iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
>
> # Rechazamos paquetes de conexiones nuevas
>
> iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
>
> # Rechazamos paquetes de forwarding de conexiones no establecidas
>
> #iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
>
>
>
> Si descomento la última línea funciona, si no lo hago no funciona.
>
> ¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo
> conseguir lo que busco sin perder seguridad?
>
> Gracias.

Reply to:

References:
- Problema abriendo NAT de iptables para SSH
  - From: Gorka Expósito <gorkalinux@yahoo.es>

Prev by Date: RE: Problema abriendo NAT de iptables para SSH
Next by Date: Re: [OT] un groupware para sincronizar mi android
Previous by thread: RE: Problema abriendo NAT de iptables para SSH
Next by thread: Re: Problema abriendo NAT de iptables para SSH
Index(es):
- Date
- Thread