Re: ayuda con iptables
El día 2 de junio de 2009 19:22, Leonel Hernández Grandela maxpa...@filialfcm.ssp.sld.cu escribió: hola amigos acá ando iniciandome con un pequeño problema en mi red, resulta ser que a nivel de router me han cerrado todos los puertos que pudiera usar en mi ip desde fuera de mi red local, y desde fuera de mi red nadamas puede verse el puerto 80, lo que necesito es hacer lo siguiente: 1- dejar el puerto 80 abierto para cualquier uso, en el servidor que tiene 2 tarjetas de red eth0 y eth1 en la cual eth0 es la ip que se ve desde fuera de mi red local. ( se como hacerlo ) con iptables 2- montar en una pc local el apache para visualisar mi web desde fuera de mi red local y redireccionar el trafico www del puerto 80 de el server que tiene las 2 interfaces hacia el apache de la red local y asi las personas fuera de mi red vean el web en la pc local. ( se hacerlo tambien con iptables ) 3- montar en otra pc un proxy en un puerto X o puede ser el 80 tambien, para que las personas puedan usar a traves de un DNAT el proxy que esta local en mi red. ( se hacerlo con iptables tambien ) 4- ahora el problema está: - tengo solo un puerto 80 eso lo sé. - como hacer para que las peticiones al 80 que sean http o sea www para visualizar la web vayan a la pc donde está apache montado. - y por ultimo como hacer para que las peticiones que vengan al mismo puerto 80 que es el unico que tengo permitido que se vea desde fuea de mi red vayan al proxy en la pc local. o sea en general usar el puerto 80 para 2 fines 1: www, 2: proxy un saludo desde cuba y esperando ayuda de algun colega gracias de antemano --- Red Telematica de Salud - Cuba CNICM - Infomed -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org con squid escuchando directamente el pueto 80 y armando una acl que verifiquen ql tipo de paquete y direccionando a los diferentes ips interna -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
ayuda con iptables
hola amigos acá ando iniciandome con un pequeño problema en mi red, resulta ser que a nivel de router me han cerrado todos los puertos que pudiera usar en mi ip desde fuera de mi red local, y desde fuera de mi red nadamas puede verse el puerto 80, lo que necesito es hacer lo siguiente: 1- dejar el puerto 80 abierto para cualquier uso, en el servidor que tiene 2 tarjetas de red eth0 y eth1 en la cual eth0 es la ip que se ve desde fuera de mi red local. ( se como hacerlo ) con iptables 2- montar en una pc local el apache para visualisar mi web desde fuera de mi red local y redireccionar el trafico www del puerto 80 de el server que tiene las 2 interfaces hacia el apache de la red local y asi las personas fuera de mi red vean el web en la pc local. ( se hacerlo tambien con iptables ) 3- montar en otra pc un proxy en un puerto X o puede ser el 80 tambien, para que las personas puedan usar a traves de un DNAT el proxy que esta local en mi red. ( se hacerlo con iptables tambien ) 4- ahora el problema está: - tengo solo un puerto 80 eso lo sé. - como hacer para que las peticiones al 80 que sean http o sea www para visualizar la web vayan a la pc donde está apache montado. - y por ultimo como hacer para que las peticiones que vengan al mismo puerto 80 que es el unico que tengo permitido que se vea desde fuea de mi red vayan al proxy en la pc local. o sea en general usar el puerto 80 para 2 fines 1: www, 2: proxy un saludo desde cuba y esperando ayuda de algun colega gracias de antemano --- Red Telematica de Salud - Cuba CNICM - Infomed -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: ayuda con iptables RESUELTO
El Martes, 4 de Octubre de 2005 11:30, Dnebla escribió: Haber si me corriges si no me equivoco tu escenario es el siguiente : ___ SERVER MAIL eth1 | FW | eth0 --- INTERNET entonces tu lo ya has hecho el direccionamiento prerouting para tu servidor de email de tu lan : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.2:25 http://192.168.1.2:25 permitimos el paso el de paquetes smtp por el forward : iptables -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 25 -j ACCEPT no olvidar el dns tambien : iptables -A FORWARD -p udp --sport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT ahora cuando los paquetes salen necesitan salir emascarados por la direccion IP publica q tu tengas , eso no veo que lo pones : iptables -t nat -A POSTROUTING -s 192.168.1.0/24 http://192.168.1.0/24 -o eth0 -j SNAT --to IP_WAN donde IP_WAN : es la ip externa . espero q funcione , o sino escribe estare al tanto de la los mensajes de la lista , suerte . con las reglas anteriores funciono todo correctamente, gracias por su ayuda pgpCk947Irjgh.pgp Description: PGP signature
Re: ayuda con iptables
En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio.El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres.Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos.
Re: ayuda con iptables
Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 --dport 25 -j DNAT --to-destination 192.168.1.2:25 donde 192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 --dport 25 -j DNAT --to-destination 192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. pgpM30D4UEiH9.pgp Description: PGP signature
Re: ayuda con iptables
El Martes, 4 de Octubre de 2005 08:35, Dnebla escribió: Has habilitado el forwardeo de paquetes ? echo 1 /proc/sys/net/ipv4/ip_forward Saludos . 2005/10/4, LSC. Francisco Javier Ferreyra López [EMAIL PROTECTED]: Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 donde 192.168.1.2 http://192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 http://192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 http://192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 http://192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 http://192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. el forwardin esta activado por default, alguna otra sugerencia please pgpWu6kVV2ZZx.pgp Description: PGP signature
Re: ayuda con iptables
El mar, 04-10-2005 a las 09:52 -0500, LSC. Francisco Javier Ferreyra López escribió: El Martes, 4 de Octubre de 2005 08:35, Dnebla escribió: Has habilitado el forwardeo de paquetes ? echo 1 /proc/sys/net/ipv4/ip_forward Saludos . 2005/10/4, LSC. Francisco Javier Ferreyra López [EMAIL PROTECTED]: Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 donde 192.168.1.2 http://192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 http://192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 http://192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 http://192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 http://192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. el forwardin esta activado por default, alguna otra sugerencia please Por lo completas que son las reglas de iptables creo que sabes mas del tema que yo, pero como reflexionar en voz alta ayuda a pensar vamos aya. Yo, en mi cortafuegos, tengo puestas las politicas de salida en ACCEPT, esto es de internet a cualquier sitio DROP del cortafuegos a mi red REJECT y de mi red a cualquier sitio ACCEPT, esto esta bien salvo que quieras evitar la salida desde tu red a internet (yo en mi casa como no estoy paranoico no me prohíbo cosas). Creo que con: iptables -A FORWARD -i eth1 -j ACCEPT estas permitiendo todo el transito que entre desde la eth1 (tu red interna) -- Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ayuda con iptables
Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 --dport 25 -j DNAT --to-destination 192.168.1.2:25 donde 192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Ayuda con iptables -P FORWARD DROP
Hola a todos. Hoy lunes maldito, y malditos problemillas de principio de semana. He cambiado la configuración del firewall y estoy poniendo una política DROP para FORWARD. El problemilla con el que me encuentro, es que no consigo dar con la regla para conectar por ssh con un equipo que tengo en mi red pero en otro rango. Lo explico. Tengo un equipo con tres interfaces: eth0 = dhcp (externa) eth1 = LAN (192.168.1.0/24) eth2 = Servidor web (192.168.0.X) Lo que trato de hacer es poder conectar con un equipo de la LAN al servidor web, pero no doy con la regla. Para conectar con los equipos de la misma LAN no hay problema. Me bastó con aceptar las reglas INPUT, OUTPUT de la interfaz eth1. Pero en este caso interviene otra interfaz (eth2) y no lo consigo. ¿Alguna ayuda?. Gracias. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://www.aldiagestion.com pgpACIK6QeN66.pgp Description: PGP signature
Re: Ayuda con iptables -P FORWARD DROP
On 5/16/05, Pablo Braulio [EMAIL PROTECTED] wrote: Hola a todos. Hoy lunes maldito, y malditos problemillas de principio de semana. He cambiado la configuración del firewall y estoy poniendo una política DROP para FORWARD. El problemilla con el que me encuentro, es que no consigo dar con la regla para conectar por ssh con un equipo que tengo en mi red pero en otro rango. Lo explico. Tengo un equipo con tres interfaces: eth0 = dhcp (externa) eth1 = LAN (192.168.1.0/24) eth2 = Servidor web (192.168.0.X) Lo que trato de hacer es poder conectar con un equipo de la LAN al servidor web, pero no doy con la regla. Para conectar con los equipos de la misma LAN no hay problema. Me bastó con aceptar las reglas INPUT, OUTPUT de la interfaz eth1. Pero en este caso interviene otra interfaz (eth2) y no lo consigo. ¿Alguna ayuda?. Gracias. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://www.aldiagestion.com iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 22 -j ACCEPT iptables -A FORWARD -o eth1 -i eth2 -p tcp --sport 22 -j ACCEPT Aunque no tengo claro desde/hacia donde intentas acceder por ssh o si has cambiado algo más además de la política polr defecto del FORWARD.
Re: Fw: Ayuda con iptables, por favor.
según creo, tienes que indicar algo como ESTABLISHED y RELATED (consultar el man) para las conexiones entrantes, así no dejas que desde fuera te inicien una conexión a un pc de la red que no sea el que hace de router, pero permites las respuestas a las conexiones que se hayan establecido desde la red. un saludo -- -- . . javier . -- __ Si, pero para ello tengo que hacer una linea indicando que permita la salida del puerto concreto. Por ejemplo: #salida puerto 80 iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS). ... y entonces para que me permita la entrada por ese puerto que he habierto desde dentro tengo que hacer: iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT. (Esto me permite la entrada por el 80 si la conexión ha sido establecida desde mi red). Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP. Es lo que no se si es posible -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpzNpYOnspGT.pgp Description: PGP signature
Re: Fw: Ayuda con iptables, por favor.
pablo: un par de preguntas: esa pc la usas de gateway? porque mira que un paquete forwardeado (perdon por la expresion) no pasa por output. respecto a tu pregunta, porque en vez de hacer: quote pablo iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS). /quote no haces: # iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT quote pablo Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) /quote lo haces con la regla que te dije antes. quote pablo y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. /quote # iptables -A INPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT una aclaracion nuevamente: tene en cuenta, que input es solo para los paquetes entrantes que van destinados a la pc. no a los paquetes que estan siendo enmascarados con nat. cualquier cosa, pregunta. saludos, velkro. - Original Message - From: Pablo Braulio [EMAIL PROTECTED] To: debian-user-spanish@lists.debian.org; Velkro [EMAIL PROTECTED] Sent: Saturday, January 29, 2005 13:12 Subject: Re: Fw: Ayuda con iptables, por favor. según creo, tienes que indicar algo como ESTABLISHED y RELATED (consultar el man) para las conexiones entrantes, así no dejas que desde fuera te inicien una conexión a un pc de la red que no sea el que hace de router, pero permites las respuestas a las conexiones que se hayan establecido desde la red. un saludo -- -- . . javier . -- __ Si, pero para ello tengo que hacer una linea indicando que permita la salida del puerto concreto. Por ejemplo: #salida puerto 80 iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS). ... y entonces para que me permita la entrada por ese puerto que he habierto desde dentro tengo que hacer: iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT. (Esto me permite la entrada por el 80 si la conexión ha sido establecida desde mi red). Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP. Es lo que no se si es posible -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con iptables, por favor.
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT A mi esto me funciona bien. Saludos. Si señor, esto funciona estupendamente, y ademas con menos reglas de las necesarias. Que alivio. Muchas gracias. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpMp96bymqZl.pgp Description: PGP signature
Re: Fw: Ayuda con iptables, por favor.
Pablo Braulio escribió: según creo, tienes que indicar algo como ESTABLISHED y RELATED (consultar el man) para las conexiones entrantes, así no dejas que desde fuera te inicien una conexión a un pc de la red que no sea el que hace de router, pero permites las respuestas a las conexiones que se hayan establecido desde la red. un saludo -- -- . . javier . -- __ Si, pero para ello tengo que hacer una linea indicando que permita la salida del puerto concreto. Por ejemplo: #salida puerto 80 iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS). ... y entonces para que me permita la entrada por ese puerto que he habierto desde dentro tengo que hacer: iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT. (Esto me permite la entrada por el 80 si la conexión ha sido establecida desde mi red). Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP. Es lo que no se si es posible Según Iptables Tutorial 1.1.19 de Oskar Andreasson, si no especificas ningún puerto en --dport ó --sport, la regla se refiere a todos los puertos. Si esto es así tus reglas serían: iptables -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT Un saludo Manuel Parrilla. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Fw: Ayuda con iptables, por favor.
Según Iptables Tutorial 1.1.19 de Oskar Andreasson, si no especificas ningún puerto en --dport ó --sport, la regla se refiere a todos los puertos. Si esto es así tus reglas serían: iptables -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT Un saludo Manuel Parrilla. Correcto pero con esa regla lo que haces es permitir la salida de todas las conexiones nuevas con el protocolo tcp, y permites la entrada de las conexiones tcp ya establecidas. Luego te hará falta añadir otra linea ( o en la misma, ¿?) el protocolo udp, para la consulta a dns. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgp97uAKa2raE.pgp Description: PGP signature
Re: Fw: Ayuda con iptables, por favor.
Pablo Braulio escribió: Según Iptables Tutorial 1.1.19 de Oskar Andreasson, si no especificas ningún puerto en --dport ó --sport, la regla se refiere a todos los puertos. Si esto es así tus reglas serían: iptables -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT Un saludo Manuel Parrilla. Correcto pero con esa regla lo que haces es permitir la salida de todas las conexiones nuevas con el protocolo tcp, y permites la entrada de las conexiones tcp ya establecidas. Luego te hará falta añadir otra linea ( o en la misma, ¿?) el protocolo udp, para la consulta a dns. Si lo que quieres es que sea aplicable a todos los protocolos, creo que debería ser suficiente con quitar la restricción -p tcp. Las reglas quedarían: iptables -A OUTPUT -o eth0 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT Si no funciona, puedes sustituir en tus reglas anteriores -p tcp por -p ALL, o por -p seguido de una lista de protocolos separados por comas. Ejemplo: -p tcp,udp Un saludo. Manuel Parrilla -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Fw: Ayuda con iptables, por favor.
Si lo que quieres es que sea aplicable a todos los protocolos, creo que debería ser suficiente con quitar la restricción -p tcp. Las reglas quedarían: iptables -A OUTPUT -o eth0 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT Si no funciona, puedes sustituir en tus reglas anteriores -p tcp por -p ALL, o por -p seguido de una lista de protocolos separados por comas. Ejemplo: -p tcp,udp No hay tantos protocolos para calentarse la cabeza tanto. Basta con no poder -p . -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgp37xQjivrgK.pgp Description: PGP signature
Re: Fw: Ayuda con iptables, por favor.
Pues mira por donde me viene de maravilla. Comentemos. El Sábado, 29 de Enero de 2005 03:05, Velkro escribió: pablo: antes que nada, te cuento que estoy leyendo mails atrasados de la lista de debian por eso agrego mi comentario recien hoy. estuve mirando tu script que levanta las reglas del iptables, y note ciertas cosas que me gustaria comentar, asi yo tambien me aseguro de que tengo entendido. ojo, no lo tomes como que te estoy corrigiendo, sino que intento mejorar lo hecho. y para toda la lista: si alguno ve algo mal, por favor, avise. quote pablo #Limpieza de reglas. echo -n Limpiando reglas iptables: iptables -F iptables -X iptables -Z iptables -t nat -F echo hecho. /quote estas haciendo un flush de las tablas filter y nat, y no lo estas haciendo para mangle. eliminas las tablas del usuario y reseteas los contadores solo para filter y no para mangle y nat. completo quedaria asi: # Elimino las tablas creadas por el usuario. iptables -t filter -X iptables -t nat -X iptables -t mangle -X # Vacio las tablas. iptables -t filter -F iptables -t nat -F iptables -t mangle -F # Reseteo los contadores. iptables -t filter -Z iptables -t nat -Z iptables -t mangle -Z ojo: yo el reseteo de contadores no lo hago. porque en ciertas condiciones puede ser util. por eso, lo tengo en una opcion aparte en mi script. reset-counters) # Reseteo los contadores. iptables -t filter -Z iptables -t nat -Z iptables -t mangle -Z ;; Tienes razón . Pero es que creo que esta tabla no la estoy usando en mi script. quote pablo #ICMP echo -n Permitendo echo request: iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT echo hecho. /quote el comentario no deberia ser: permito todo el trafico icmp con destino esta pc, u originado desde esta pc? porque si bien permitis los echo request, estas permitiendo tambien todo tipo de mensajes icmp. comentario: lei en un tutorial que si lo que queres hacer es permitir los 'host unreachable, etc' podrias permitir los INPUT o FORWARD state RELATED, que justamente se utilizan para esto. Bueno ahí me has pillado. De lo que se trata es que sin esta regla no puedo hacer un ping desde el exterior. Creo que debería explicar la extructura de la red para mayor claridad. Tengo un equipo con dos interfaces haciendo de firewall, conectado al modem cable. Una interfaz (eth0) tiene la ip publica (dinámica) y la otra (eth1) tiene ip estatica (192.168.0.1) de acceso a la LAN. quote pablo echo -n Parando el firewall: iptables -F INPUT (1) iptables -F OUTPUT (2) iptables -F FORWARD (3) iptables -F (4) iptables -t nat -F echo hecho. /quote aca estas repitiendo cosas. las lineas 1, 2, y 3, juntas hacen lo mismo que la 4. y si haces un flush de nat, como convencion te convendria hacer un flush tambien de mangle. cosa de que si algun dia necesitas usar mangle, no te tengas que preocupar si las estas inicializando o no. Si la 4 es un fallo y falta la del mangle. quote pablo #ssh exterior al server. echo -n Activando redireccionamiento conexión ssh al server: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -m state --state NEW -j DNAT --to 192.168.0.2:22 iptables -A FORWARD -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT echo hecho. /quote para estar convencido de lo que voy a decir, necesitaria que me digas tu configuracion de red. pero a simple vista, te falta la regla en postrouting para modificar la direccion de origen del paquete utilizando SNAT. porque sino lo que vas a estar haciendo es modificar el destino de un paquete para enviarlo a una subnet diferente a la de la direccion origen. ojo: habria que ver si no se esta enmascarando con una regla que tenes mas arriba # NAT: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE. Ya te he comentado la configuración de la red. La regla de NAT está, como has supuesto. Con la regla del PREROUTING, redirecciono las conexiones ssh por el puerto 22 al equipo con esa ip y a ese puerto. Funciona perfectamente. Yo diría que la regla del POSTROUTING no hace falta. Se admiten sugerencias. quote pablo #Cerrar echo -n Cerrando conexiones no necesarias: iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP echo hecho. /quote si no veo mal, ya tenes bloqueado todo eso con las politicas por defecto que seteaste arriba: #Política por defecto. echo -n Aplicando política: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP como comentario final, para el que le interese, les dejo un link de un tutorial de iptables muy copado: http://iptables-tutorial.frozentux.net/iptables-tutorial.html y ya saben, cualquier cosa que dije mal, o les parece que esta mal,
Re: Ayuda con iptables, por favor.
Los equipos de tu red, ¿tienen la puerta de enlace apuntando al pc que hará de router/firewall? ¿Has activado el SNAT? para activar el SNAT si tu ip pública es fija pon: iptables -t nat -A POSTROUTING -o ethx -j SNAT --to-source tu ip pública y si es dinámica: iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE donde pone ethx debes poner la interface que está conectada al cablemodem. Salut. El Miércoles, 29 de Diciembre de 2004 12:33, Pablo Braulio escribió: El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona ¿Debo hacer esto con cada una de las direcciones?
Re: Ayuda con iptables, por favor.
Sorry!! no habia leido tu post entero :). Por lo visto solo dejas hacer forward a conexiones externas por el puerto 22. El resto del tráfico saliente no te funcionará porque tienes la politica por defecto de FORWARD a DROP... ponla a ACCEPT para probar a ver si es eso. Saludos.
Ayuda con iptables, por favor.
Hola a todos. Estoy pegandome con iptables con politica drop, pero no lo consigo dominar. Tengo un equipo con Debian Sarge, dos interfaces haciendo de firewall de toda la red. Está conectaddo directamente al modem cable. No consigo poder hacer la conexión a Internet. Si hago un ping google.com desde el firewall o desde algún equipo de la red, me responde unknown host google.com. Sólo necesito que los equipos puedan descargar el correo de un servidor externo, usar msn y jabber, accder a Internet. Luego además permitir el acceso por ssh desde el exterior, redireccionando a la dirección del server. Todo esto lo tengo hecho con otro scipt con política ACCEPT y funciona. Os pego el script que he creado para la política drop. Si alguien me puede ayudar lo agradecería mucho. Saludos. Pablo. #!/bin/bash case $1 in start) #Limpieza de reglas. echo -n Limpiando reglas iptables: iptables -F iptables -X iptables -Z iptables -t nat -F echo hecho. #Cargando modulos. echo -n Cargando modulos: /sbin/depmod -a modprobe ip_tables modprobe ip_conntrack modprobe iptable_filter modprobe iptable_nat modprobe ipt_state modprobe ipt_MASQUERADE modprobe ipt_LOG echo hecho. #Forwarding. echo -n Activando forwarding: echo 1 /proc/sys/net/ipv4/ip_forward echo hecho. #Política por defecto. echo -n Aplicando política: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #iptables -t nat -P POSTROUTING DROP #iptables -t nat -P PREROUTING DROP echo hecho. #NAT echo -n Activando NAT: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo hecho. #ICMP echo -n Permitendo echo request: iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT echo hecho. #Conexión a Internet. echo -n Activando acceso a Internet: iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT echo hecho. #ssh exterior al server. echo -n Activando redireccionamiento conexión ssh al server: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -m state --state NEW -j DNAT --to 192.168.0.2:22 iptables -A FORWARD -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT echo hecho. #Conexión mail echo -n Aceptando conexiones mail: iptables -A INPUT -i eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT echo hecho. #Cerrar echo -n Cerrando conexiones no necesarias: iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP echo hecho. ;; stop) echo -n Parando el firewall: iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -F iptables -t nat -F echo hecho. ;; restart) $0 stop echo -n Reiniciando el firewall: sleep 2 $0 start echo hecho. ;; status) iptables -L -n ;; *) echo usar: $0 {start|stop|restart|status} exit 1 esac exit 0 -- signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Re: Ayuda con iptables, por favor.
Necesitas activar las consultas a los DNS, ya que estos por alguna estrña razón no funciona si no les dejas hace runa conexión con ru máquina. La regla sería: iptables -A INPUT -s IP_SERVIDOR_DNS/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT Prueba a ver, Un saludo. - Original Message - From: Pablo Braulio [EMAIL PROTECTED] To: debian-user-spanish debian-user-spanish@lists.debian.org Sent: Wednesday, December 29, 2004 11:59 AM Subject: Ayuda con iptables, por favor.
Re: Ayuda con iptables, por favor.
El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona ¿Debo hacer esto con cada una de las direcciones? -- signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Re: Ayuda con iptables, por favor.
On Wed, 29 Dec 2004 12:33:28 +0100, Pablo Braulio [EMAIL PROTECTED] wrote: El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona Creo que con esto debería andar: iptables -A POSTROUTING -o eth0 -d 62.42.230.24 -p udp --dport 53 -j ACCEPT iptables -A POSTROUTING -o eth0 -d 62.42.63.52 -p udp --dport 53 -j ACCEPT iptables -A POSTROUTING -o eth0 -d 212.95.216.62 -p udp --dport 53 -j ACCEPT ¿Debo hacer esto con cada una de las direcciones? -- -- --Nicolas
Re: [Off topic]:Ayuda con iptables
On Tue, 26 Aug 2003 16:45:19 +0200 Victor Calzado [EMAIL PROTECTED] wrote: Realmente es una consecuencia del diseño de la pila TCP/IP y de como se integra netfilter en ella y de como vemos nosotros las cosas, me explico: En nuestro caso resulta bastante común llegar a la conclusión de que todo lo que entra por un interface de red pasa primero por el gancho -SNIP- Gracias, tus explicaciones me han servido de mucho y naturalmente los howto's también aunque los que me han servido de más ayuda són uns tutoriales de un señor llamado Pello xabier Altadill Izura en http://www.pello.info/?p=manuales.html aunque los howto's són recomendables, estos particularmente los encuentro oscuros, será que me he pateado demasiados... En fin gracias de nuevo, -- Soy una piedra, no muevo ni un músculo,lentamente me pongo nieve en la boca para que no vea mi aliento , me tomo mi tiempo, dejo que se acerque, sólo tengo una bala, apunto a sus ojos, muy suavemente mi dedo presiona el gatillo,mi pulso no tiembla, no tengo miedo: ahora ya soy mayor Enemy at gates -- Pere Castañer Sardà - http://xarz.no-ip.org GnuPG Public key available - http://xarz.no-ip.org/keys.html Computer Science Student on UOC - http://www.uoc.edu Linux Registered User #232073 Debian/GNU User - http://www.debian.org - pgp9aKWoTSFkC.pgp Description: PGP signature
[Off topic]:Ayuda con iptables
Hola a todos. Sé que no es debian subject pero si alguien de por qui puede echarme un cable se lo agradecere enormemente. Tengo habilitado ip forwarding con iptables en un ordenador con dos ethernets delante de la LAN privada en una conexion con cable e IP dinámica. (Es el típico montage para tener más de dos ordenadores conectados con una conexión de cable de Auna). Esquema: InternetCablemodemLinuxRouter---switch-LAN Tengo las siguientes reglas en un fichero de texto en /etc/init.d/ llamado reglas, que pasteo a continuación: #!/bin/bash echo 1 /proc/sys/net/ipv4/ip_forward #Habilitar NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE #Deixar passar pings ICMP iptables -A INPUT -i eth0 -p ICMP -j ACCEPT #Acceptar connexions ja establertes #iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT #acceptem tcp i udp a 4662, port 80(http) i port 22(ssh) iptables -A INPUT -i eth0 -p TCP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p UDP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT #nat per mlnet, http, ssh, ftp. iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 22 -j DNAT --to 192.168.0.2:22 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 21 -j DNAT --to 192.168.0.2:21 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 20 -j DNAT --to 192.168.0.2:20 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 80 -j DNAT --to 192.168.0.2:80 #Acceptar connexions ja establertes iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT #Passant de la resta de paquets iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP --- PROBLEMA: No consigo hacer el nat correctamente. El puerto 80 el 21 el ssh..etc se me quedan en el linux router en vez de pasar al ordenador de la LAN. Sabéis que hago mal? Gracias y perdonad el Offtòpic. -- Soy una piedra, no muevo ni un músculo,lentamente me pongo nieve en la boca para que no vea mi aliento , me tomo mi tiempo, dejo que se acerque, sólo tengo una bala, apunto a sus ojos, muy suavemente mi dedo presiona el gatillo,mi pulso no tiembla, no tengo miedo: ahora ya soy mayor Enemy at gates -- Pere Castañer Sardà - http://xarz.no-ip.org GnuPG Public key available - http://xarz.no-ip.org/keys.html Computer Science Student on UOC - http://www.uoc.edu Linux Registered User #232073 Debian/GNU User - http://www.debian.org - pgplN8pBNth1p.pgp Description: PGP signature
Re: [Off topic]:Ayuda con iptables
Hola :)) El Martes, 26 agosto, 2003, a las 01:39 PM, Pere Castañer escribió: Hola a todos. Sé que no es debian subject pero si alguien de por qui puede echarme un cable se lo agradecere enormemente. Tengo habilitado ip forwarding con iptables en un ordenador con dos ethernets delante de la LAN privada en una conexion con cable e IP dinámica. (Es el típico montage para tener más de dos ordenadores conectados con una conexión de cable de Auna). Esquema: InternetCablemodemLinuxRouter---switch-LAN Tengo las siguientes reglas en un fichero de texto en /etc/init.d/ llamado reglas, que pasteo a continuación: snip iptables -A INPUT -i eth0 -p TCP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p UDP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT Esto nos ha pasado a casi todos al usar el DNAT con iptables por primera vez, en realidad el gancho de PREROUTING es independiente de INPUT a nivel de filtrado ( las reglas de INPUT no afectan a PREROUTING ) y depende de FORWARD con lo que si quieres habilitar el DNAT tienes que asociar reglas de FORWARD que permitan que las conexiones traducidas atraviesen el PC. #nat per mlnet, http, ssh, ftp. iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 22 -j DNAT --to 192.168.0.2:22 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 21 -j DNAT --to 192.168.0.2:21 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 20 -j DNAT --to 192.168.0.2:20 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 80 -j DNAT --to 192.168.0.2:80 #Acceptar connexions ja establertes iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT #Passant de la resta de paquets iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP Con lo que esta regla es la culpable de todas tus desgracias, si añades por delante de ellas las reglas que tienes definidas en el gancho de INPUT en este gancho de FORWARD te funcionará correctamente, eso si recuerda que todo lo que sale por un interface necesita poder volver por él. --- PROBLEMA: No consigo hacer el nat correctamente. El puerto 80 el 21 el ssh..etc se me quedan en el linux router en vez de pasar al ordenador de la LAN. Sabéis que hago mal? Gracias y perdonad el Offtòpic. un saludo Victor My will is strong but my won't is weak
Re: Ayuda con iptables
Sé que no es debian subject [...] ¿? # dpkg -S /sbin/iptables iptables: /sbin/iptables Si está en un paquete Debian oficial, no está fuera del tema de la lista.
Re: [Off topic]:Ayuda con iptables
On Tue, 26 Aug 2003 13:55:40 +0200 Victor Calzado [EMAIL PROTECTED] wrote: Hola :)) ---snip-- Por loque me dices, el problema és que las reglas de nat están en el sitio equivocado no? Es decir que no dependen de INPUT, sinó de forwarding, por lo que deberia ser el fichero..como sigue?: #!/bin/bash echo 1 /proc/sys/net/ipv4/ip_forward #Habilitar NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE #Deixar passar pings ICMP iptables -A INPUT -i eth0 -p ICMP -j ACCEPT #Acceptar connexions ja establertes #iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT #acceptem tcp i udp a 4662, port 80(http) i port 22(ssh) iptables -A INPUT -i eth0 -p TCP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p UDP --dport 4662 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT #Acceptar connexions ja establertes iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT #Passant de la resta de paquets iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP #nat per mlnet, http, ssh, ftp. iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p UDP --dport 4662 -j DNAT --to 192.168.0.2:4662 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 22 -j DNAT --to 192.168.0.2:22 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 21 -j DNAT --to 192.168.0.2:21 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 20 -j DNAT --to 192.168.0.2:20 iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 80 -j DNAT --to 192.168.0.2:80 asi? (mm creo que ando perdido...) -- Soy una piedra, no muevo ni un músculo,lentamente me pongo nieve en la boca para que no vea mi aliento , me tomo mi tiempo, dejo que se acerque, sólo tengo una bala, apunto a sus ojos, muy suavemente mi dedo presiona el gatillo,mi pulso no tiembla, no tengo miedo: ahora ya soy mayor Enemy at gates -- Pere Castañer Sardà - http://xarz.no-ip.org GnuPG Public key available - http://xarz.no-ip.org/keys.html Computer Science Student on UOC - http://www.uoc.edu Linux Registered User #232073 Debian/GNU User - http://www.debian.org - pgpxGywuvV1dr.pgp Description: PGP signature
Re: [Off topic]:Ayuda con iptables
http://www.cortafuegos.org/ - Original Message - From: Pere Castañer [EMAIL PROTECTED] To: debian-user-spanish@lists.debian.org Sent: Tuesday, August 26, 2003 1:39 PM Subject: [Off topic]:Ayuda con iptables
Re: [Off topic]:Ayuda con iptables
Bueno, es que yo soy a veces muy espeso en mis explicaciones El Martes, 26 agosto, 2003, a las 02:25 PM, Pere Castañer escribió: On Tue, 26 Aug 2003 13:55:40 +0200 Victor Calzado [EMAIL PROTECTED] wrote: Hola :)) ---snip-- Por loque me dices, el problema és que las reglas de nat están en el sitio equivocado no? Es decir que no dependen de INPUT, sinó de forwarding, por lo que deberia ser el fichero..como sigue?: Realmente es una consecuencia del diseño de la pila TCP/IP y de como se integra netfilter en ella y de como vemos nosotros las cosas, me explico: En nuestro caso resulta bastante común llegar a la conclusión de que todo lo que entra por un interface de red pasa primero por el gancho de INPUT pero a nivel de nucleo el enrutamiento va a seguir caminos distintos si el paquete es local ( que si será tratado por INPUT ) que si va a ser redirigido a un sistema no local ( una traducción algo libre de FORWARD ) Así la decisión de enrutamiento de un paquete entrante se bifurca si es local sigue un camino (y nosotros podremos actuar sobre él con reglas de INPUT) y si está o va a estar dirigido (cuando reescribamos la dirección con nuestras reglas de Destination NAT) a un sistema no local seguirá otro y para actuar sobre él deberemos aplicar nuestros filtros sobre el gancho o cadena de FORWARD. Si le echas un ojo al howto de netfilter verás un grafiquillo ascii muy explicativo (http://www.netfilter.org/documentation/HOWTO/es/packet-filtering- HOWTO.txt) De esta forma si no permites (como ocurre en tu configuración) reenvio de paquetes estás actuando sobre todas las reglas de PREROUTING que utilices impidiendo que puedan aplicarse (ya que dependen de la capacidad del sistema para reenviar paquetes) ¿cómo lo corriges? una vez que has visto el error de concepto es sencillo piensa sin más que lo que tu considerabas INPUT en el caso del DNAT es FORWARD ya que realmente los paquetes son reenviados, tendrías que rehacer tu configuración para permitir el reenvio de paquetes en vez de su entrada, como conceptualmente los paquetes que se envían entran y salen por el interface necesitarías permitir esto tanto en la entrada como en la salida de los interfaces implicados ( en tu caso que no permites reenvío de paquetes que tengan como entrada eth0 deberías permitirlo para los puertos de los que quieras hacer DNAT, lo que es posible que sólo te suponga sustituir en esas reglas INPUT por FORWARD ) Espero haberme explicado algo mejor pero es evidente que al mejor manera de aclararse con todas estas cosas es pasarse por netfilter.org y aprovechar la gran cantidad de información (desde mi punto de vista de una categoría excepcional) que tienen. un saludo Victor
Ayuda con IPTABLES
Hola, como puedo hacer una regla con iptables para que un pc solo pueda navegar por la red local y una sola direccion ip de internet. Me explico, solo quiero que pueda moverse por la 10.10.1.0/24 y esta direccion de internet 217.16.24.46, nada mas. Gracias
Ayuda con iptables
Buenas, estoy intentando montar masquerading ahora que tengo dos maquinas conectadas por plip, pero no me aclaro con iptables (he instalado el paquete ipmasq y funciona, pero he leido que no es necesario si ya tengo iptables), he seguido lo que hay en el IP-Masquerading HOWTO (version 2.algo), pero lo dicho, las reglas que da de iptables creo que no me funcionan y no me acabo de enterar como va. Bueno, despues de todo este rollo, la pregunta: algun documento que explique como va iptables (que sea para tontos ;)) ? Nos leemos --