Re: Iptables off topic
El 07/08/12 03:12, Diego Sanchez escribió: Tunel ssh? Fuente: http://rafael.bonifaz.ec/blog/2011/01/tuneles-ssh-parte-1/ EJEMPLO 2: ACCEDER A UN SERVIDOR WEB CON IP PRIVADO DESDE INTERNET Supongamos que usted necesita acceder a un servidor web privado en una Intranet desde el Internet. En este caso usted puede acceder como usuario sin privilegios a un servidor con ip pública que puede ver al servidor web de la intranet con ip privada. En una red pequeña, esto podría ser a través del firewall. Entonces generamos el túnel ssh -L 8080:10.10.10.30:80 usua...@servidorremoto.com En este caso el puerto 80 del servidor 10.10.10.30 estará accesible en máquina local en el puerto 8080. Para probar abrimos un navegador web con la url http://localhost:8080 --- PD: Si no sirve, es que no leí el mail anterior -- Diego - Yo no soy paranoico! (pero que me siguen, me siguen) Tampoco entendí bien cual es su objetivo, pero si habla de openvpn quiza se ajustaría mejor a lo que necesita montar una VPN con ssh, ssh -w Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5020c3af.1000...@limbo.deathwing.net
Re: Iptables off topic
On Monday 06 August 2012 23:13:57 El Ale... wrote: Gente buenas tardes con el topic de ayer pude hacer pruebas con iptables, se que me recomendaron openvpn pero debo hacerlo a esto en un servidor que esta en produccion y no me dejan instalarle cosas (una cuestion de la pyme esta)... aunque consulte no me dieron el ok y debo atender esta maquina dentro del lan con urgencia. les recuerdo yo tenia el siguiente esquema: router: IP FIJA WAN 120.200.200.20 con un DMZ a la ip 192.168.0.100 I I I I I PC con dos placa de red 1 eth0: 192.168.0.100/255.255.255.0 (es la ip que esta dentro del rango del router) 2 eth2: 10.104.0.20/255.0.0.0 (es la ip que pertenece a la red donde quiero entrar) I I I I I PC apache eth0: 10.104.0.10:8081 es la pc donde tiene el apache donde quiero conectar iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.100 --dport 8081 -j DNAT --to 10.104.0.10:8081 pero no lo consigo, la verdad pido mil disculpas ya que soy muy malo con iptables y por insistir, es que en internet no encuentro algun ejemplo que me pueda ayudar y esto fue lo que pude construir con los tutoriales pero no me basto. tengo activado el loop pero sigue igual. Según como tengas el firewall iptables, deberás poner unas u otras reglas. Seguramente te falta la regla para aceptar esos paquetes, si es que hay una que por defecto bloquee todo lo que no conoce (probablemente la haya). Por la línia que pones, para aceptar esos paquetes faltaria añadir: iptables -A FORWARD -p 8081 -i eth0 -d 10.104.0.10 --dport 8081 -o eth1 -j ACCEPT Apache debe estar escuchando el puerto 8081 (por defecto no es este), y desde fuera debes conectar también al puerto 8081 Poiendo nombre a las variables, las dos reglas quedarian: iptables -t nat -A PREROUTING -p $protocolo -i $eth_externa -d $ip_externa -- dport $puerto_externo -j DNAT --to $ip_interna:$puerto_externo iptables -A FORWARD -p $protocolo -i $eth_externa -d $ip_interna --dport $puerto_interno -o $eth_interna -j ACCEPT Donde: $protocolo=tcp $eth_externa=eth0 $ip_externa=192.168.0.100 $puerto_externo=8081 $ip_interna=10.104.0.10 $puerto_externo=8081 El parámetro de las ethernets quizas puedas omitirlo, pero no está de más, no fuera que alguien hiciera cosas raras enviando paquetes con IPs de la otra red. Y el puerto al que se accede externamente no tiene por que ser el mismo que para acceder internamente. Mil gracias Suerte -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: Iptables off topic
On Tuesday 07 August 2012 11:18:56 Marc Olive wrote: Poiendo nombre a las variables, las dos reglas quedarian: iptables -t nat -A PREROUTING -p $protocolo -i $eth_externa -d $ip_externa -- dport $puerto_externo -j DNAT --to $ip_interna:$puerto_externo Al final de la linia me equivoqué, es --to $ip_interna:$puerto_interno iptables -A FORWARD -p $protocolo -i $eth_externa -d $ip_interna --dport $puerto_interno -o $eth_interna -j ACCEPT -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Re: Iptables off topic
Gracias por responder!, tengo habilitado el 8081 en apache y las iptables sin ninguna regla. Saludos! Enviado desde mi BlackBerry de Personal (http://www.personal.com.ar/) -Original Message- From: Marc Olive marc.ol...@blauadvisors.com Date: Tue, 7 Aug 2012 11:22:19 To: debian-user-spanish@lists.debian.org Subject: Re: Iptables off topic On Tuesday 07 August 2012 11:18:56 Marc Olive wrote: Poiendo nombre a las variables, las dos reglas quedarian: iptables -t nat -A PREROUTING -p $protocolo -i $eth_externa -d $ip_externa -- dport $puerto_externo -j DNAT --to $ip_interna:$puerto_externo Al final de la linia me equivoqué, es --to $ip_interna:$puerto_interno iptables -A FORWARD -p $protocolo -i $eth_externa -d $ip_interna --dport $puerto_interno -o $eth_interna -j ACCEPT -- Marc Olivé Blau Advisors www.blauadvisors.com
Re: Iptables off topic
On Tuesday 07 August 2012 15:07:44 alexissauc...@gmail.com wrote: -Original Message- From: Marc Olive marc.ol...@blauadvisors.com Date: Tue, 7 Aug 2012 11:22:19 To: debian-user-spanish@lists.debian.org Subject: Re: Iptables off topic On Tuesday 07 August 2012 11:18:56 Marc Olive wrote: Poiendo nombre a las variables, las dos reglas quedarian: iptables -t nat -A PREROUTING -p $protocolo -i $eth_externa -d $ip_externa -- dport $puerto_externo -j DNAT --to $ip_interna:$puerto_externo Al final de la linia me equivoqué, es --to $ip_interna:$puerto_interno iptables -A FORWARD -p $protocolo -i $eth_externa -d $ip_interna --dport $puerto_interno -o $eth_interna -j ACCEPT Gracias por responder!, tengo habilitado el 8081 en apache y las iptables sin ninguna regla. De nada, pero no respondas a mi privado, por favor. Y te reordeno el mensaje para conservar la conversación, evita el top-posting. Entiendo que iptables -L no te saca ninguna regla, ¿verdad? solo para asegurar. ¿Habilitaste el ip forwarding del kernel de Linux? Para prueba rápida: # cat /proc/sys/net/ipv4/ip_forward 0 # echo 1 /proc/sys/net/ipv4/ip_forward # Si sale un 0 es que no está habilitado, poniendo un 1 se habilita. Para ipv6 el archivo es /proc/sys/net/ipv6/conf/all/forwarding Y para establecer ese valor durante el arranque, edita el /etc/sysctl.conf o te creas uno en /etc/sysctl.d/, poniendo: net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 Yo haria primero la prueba rápida, si realmente es este el problema y su solución, entonces los pones permamentemente editando el arxivo. Saludos! Enviado desde mi BlackBerry de Personal (http://www.personal.com.ar/) Enviado desde mi laptop. -- Marc Olivé Blau Advisors www.blauadvisors.com signature.asc Description: This is a digitally signed message part.
Iptables off topic
Gente buenas tardes con el topic de ayer pude hacer pruebas con iptables, se que me recomendaron openvpn pero debo hacerlo a esto en un servidor que esta en produccion y no me dejan instalarle cosas (una cuestion de la pyme esta)... aunque consulte no me dieron el ok y debo atender esta maquina dentro del lan con urgencia. les recuerdo yo tenia el siguiente esquema: router: IP FIJA WAN 120.200.200.20 con un DMZ a la ip 192.168.0.100 I I I I I PC con dos placa de red 1 eth0: 192.168.0.100/255.255.255.0 (es la ip que esta dentro del rango del router) 2 eth2: 10.104.0.20/255.0.0.0 (es la ip que pertenece a la red donde quiero entrar) I I I I I PC apache eth0: 10.104.0.10:8081 es la pc donde tiene el apache donde quiero conectar iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.100 --dport 8081 -j DNAT --to 10.104.0.10:8081 pero no lo consigo, la verdad pido mil disculpas ya que soy muy malo con iptables y por insistir, es que en internet no encuentro algun ejemplo que me pueda ayudar y esto fue lo que pude construir con los tutoriales pero no me basto. tengo activado el loop pero sigue igual. Mil gracias
Re: Iptables off topic
Tunel ssh? Fuente: http://rafael.bonifaz.ec/blog/2011/01/tuneles-ssh-parte-1/ EJEMPLO 2: ACCEDER A UN SERVIDOR WEB CON IP PRIVADO DESDE INTERNET Supongamos que usted necesita acceder a un servidor web privado en una Intranet desde el Internet. En este caso usted puede acceder como usuario sin privilegios a un servidor con ip pública que puede ver al servidor web de la intranet con ip privada. En una red pequeña, esto podría ser a través del firewall. Entonces generamos el túnel ssh -L 8080:10.10.10.30:80 usua...@servidorremoto.com En este caso el puerto 80 del servidor 10.10.10.30 estará accesible en máquina local en el puerto 8080. Para probar abrimos un navegador web con la url http://localhost:8080 --- PD: Si no sirve, es que no leí el mail anterior -- Diego - Yo no soy paranoico! (pero que me siguen, me siguen) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caj8adpdf6cck0oq7jejdn8relvtk7xzaamc42bisu39ddmf...@mail.gmail.com