Re: Acceder a host interno de la LAN desde red WAN
On 22/10/14 07:42, leos.listas@gmail.com wrote:
Buenos días para todos.
Agrego algo mas por si aporta algo:
Solo para probar he agregado estas líneas al firewall (recordar que la
policy de OUTPUT y FORWARD esta en ACCEPT por default)
iptables -A INPUT -i eth2 -p tcp --dport 2222 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 2222 -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 2222 -j DNAT --to
192.168.0.100:22
iptables -A OUTPUT -d 0.0.0.0/0 -o eth2 -p tcp --dport 2222 --sport
1024:65535 -j ACCEPT
Lo extraño, es que cuando hago un nmap desde afuera (osea desde eth2)
para analizar como esta el puerto 2222
# nmap -p 2222 192.168.3.254
me dice que el puerto esta "filtered" osea, no me dice que esta OPEN
Alguien se le ocurre algo mas porque la verdad no vislumbro que puede
estar pasando?
:(
Muchas Gracias.
Saludos.
Pido ayuda sobre este tema:
Tengo un router con Debian con 3 interfaces:
eth0: lan
eth1: Internet
eth2: wan
Ahora bien, estoy necesitando acceder desde un equipo de la WAN a un
equipo de la LAN en un puerto determinado.
Para hacer esto debo solamente manejarme con la cadena Forward?
Desde ya muchas gracias!
Si las politicas de FORWARD y OUTPUT estan en ACCEPT y las tablas estan
vacias, lo que pongas ahi con ACCEPT es irrelevante, sino estan vacias
insertalas adelante, no agregues al final.
La linea en INPUT tambien es irrelevante, ya que esa se usa para
paquetes que van dirigidas a un servicio propio del firewall.
Las unicas que deberias tener son
iptables -t nat -I PREROUTING 1 -i eth2 -p tcp --dport 2222 -j DNAT --to
192.168.0.100:22
y si no lo tenes tambien podrias agregar algo asi
iptables -t nat -I POSTROUTING 1 -s 192.168.0.100 -j MASQUERADE
Inserta adelante de las tablas , no agregues al final por las dudas que
tengas algo en el medio que filtre, despues lo deberas acomodar como
tiene que ser.
y chequea que /proc/sys/net/ipv4/ip_forward este en 1
y porsupuesto debe ser el firewall el DG del server interno, sino
deberas hacer un snat, algo asi mas o menos:
iptables -t nat -A POSTROUTING -d 192.168.0.100/32 -j SNAT --to-source
IP_INTERNA_FIREWALL
Sino funciona, adonde apunta el DG del firewall? de donde viene la WAN?
quizas debas implementar marcado de paquetes en la tabla mangle y rutas
estaticas para discriminar y que el paquete sepa por donde volver, si
por "internet" o por lo que llamas "wan".
Saludos
Julian
Reply to: