Re: Problema abriendo NAT de iptables para SSH

To: debian-user-spanish@lists.debian.org
Subject: Re: Problema abriendo NAT de iptables para SSH
From: Facundo Aguirre <facundo@creativadigital.com.ar>
Date: Thu, 28 Jul 2011 12:24:21 -0300
Message-id: <[🔎] 20110728152421.GY2549@debian-movil.com.ar>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] 1311784336.7901.YahooMailRC@web25402.mail.ukl.yahoo.com>
References: <[🔎] 1311784336.7901.YahooMailRC@web25402.mail.ukl.yahoo.com>

On Wed, Jul 27, 2011 at 05:32:16PM +0100, Gorka Expósito wrote:
> Buenas.
> 
> Tengo la siguiente configuración:
> 
> router -> 192.168.1.1/16 (ip interna hacia el debian-iptables)
> debian-iptables -> eth0 - 192.168.1.2/16 (hacia el router) y eth2 - 10.0.0.1/16 
> (hacia la lan de una única máquina de pruebas)
> máquina-pruebas -> 10.0.0.46/16 gw 10.0.0.1
> 
> Lo que quiero es permitir justo las conexiones SSH a la máquina-pruebas desde 
> internet (y que la máquina-pruebas navegue por internet, claro).
> 
> Este es el script de configuración de iptables:
> 
> #Destination NAT, envia peticiones 22 al 22 de la IP interna
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 
> 10.0.0.46:22
> #Habilito el NAT, permite a la red interna salir a internet
> iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -d 0.0.0.0/0 -j MASQUERADE
> # Dejo pasar los paquetes ICMP
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> # Permito conexiones al puerto 22 (SSH)
> iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT
> # Acepto paquetes de conexiones ya establecidas
> iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> # Rechazamos paquetes de conexiones nuevas
> iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
> # Rechazamos paquetes de forwarding de conexiones no establecidas
> #iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
>  
> Si descomento la última línea funciona, si no lo hago no funciona.
> ¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo conseguir 
> lo que busco sin perder seguridad?
> Gracias.

Hola, cuando tuve que aprender iptables me leí el tutorial 
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
que es bastante largo, pero lo explica de manera muy detallada y con 
ejemplos.
Te lo recomiendo ampliamente para entender bien como funcionan las 
cadenas (especialmente el capítulo 6).

Saludos,


-- 
Por favor, evita enviarme documentos adjuntos en formato Word o PowerPoint
http://www.gnu.org/philosophy/no-word-attachments.es.html

Reply to:

References:
- Problema abriendo NAT de iptables para SSH
  - From: Gorka Expósito <gorkalinux@yahoo.es>

Prev by Date: RE: Problema abriendo NAT de iptables para SSH
Next by Date: }{}{Familia--muy--importante--mensaje......
Previous by thread: Re: Problema abriendo NAT de iptables para SSH
Next by thread: GRUB2, resolucion VGA y XEN
Index(es):
- Date
- Thread