Re: Acceder a host interno de la LAN desde red WAN

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Acceder a host interno de la LAN desde red WAN
From: Jose Julian Buda <jbuda@noticiasargentinas.com>
Date: Wed, 22 Oct 2014 10:53:21 -0300
Message-id: <[🔎] 5447B6D1.1010102@noticiasargentinas.com>
In-reply-to: <[🔎] 54478A2E.8090405@gmail.com>
References: <[🔎] 54478A2E.8090405@gmail.com>



On 22/10/14 07:42, leos.listas@gmail.com wrote:

Buenos días para todos.

Agrego algo mas por si aporta algo:

Solo para probar he agregado estas líneas al firewall (recordar que la
policy de OUTPUT y FORWARD esta en ACCEPT por default)

iptables -A INPUT -i eth2 -p tcp --dport 2222 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 2222 -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 2222 -j DNAT --to
192.168.0.100:22
iptables -A OUTPUT -d 0.0.0.0/0 -o eth2 -p tcp --dport 2222 --sport
1024:65535 -j ACCEPT


Lo extraño, es que cuando hago un nmap desde afuera (osea desde eth2)
para analizar como esta el puerto 2222

# nmap -p 2222 192.168.3.254

me dice que el puerto esta "filtered" osea, no me dice que esta OPEN

Alguien se le ocurre algo mas porque la verdad no vislumbro que puede
estar pasando?

:(

Muchas Gracias.

Saludos.





Pido ayuda sobre este tema:

Tengo un router con Debian con 3 interfaces:

eth0: lan
eth1: Internet
eth2: wan

Ahora bien, estoy necesitando acceder desde un equipo de la WAN a un
equipo de la LAN en un puerto determinado.

Para hacer esto debo solamente manejarme con la cadena Forward?

Desde ya muchas gracias!

Si las politicas de FORWARD y OUTPUT estan en ACCEPT y las tablas estanvacias, lo que pongas ahi con ACCEPT es irrelevante, sino estan vaciasinsertalas adelante, no agregues al final.La linea en INPUT tambien es irrelevante, ya que esa se usa parapaquetes que van dirigidas a un servicio propio del firewall.


Las unicas que deberias tener son

iptables -t nat -I PREROUTING 1 -i eth2 -p tcp --dport 2222 -j DNAT --to192.168.0.100:22

y si no lo tenes tambien podrias agregar algo asi
iptables -t nat -I POSTROUTING 1 -s 192.168.0.100 -j MASQUERADE

Inserta adelante de las tablas , no agregues al final por las dudas quetengas algo en el medio que filtre, despues lo deberas acomodar comotiene que ser.


y chequea que /proc/sys/net/ipv4/ip_forward este en 1

y porsupuesto debe ser el firewall el DG del server interno, sinodeberas hacer un snat, algo asi mas o menos:iptables -t nat -A POSTROUTING -d 192.168.0.100/32 -j SNAT --to-sourceIP_INTERNA_FIREWALL


Sino funciona, adonde apunta el DG del firewall? de donde viene la WAN?

quizas debas implementar marcado de paquetes en la tabla mangle y rutasestaticas para discriminar y que el paquete sepa por donde volver, sipor "internet" o por lo que llamas "wan".


Saludos
Julian

Reply to:

References:
- Acceder a host interno de la LAN desde red WAN
  - From: "leos.listas@gmail.com" <leos.listas@gmail.com>

Prev by Date: Acceder a host interno de la LAN desde red WAN
Next by Date: Re: [OT] Proposición para preservar la libertad de elección del sistema de inicio
Previous by thread: Acceder a host interno de la LAN desde red WAN
Next by thread: Balanceo de cargas con ipvsadmin
Index(es):
- Date
- Thread