Lamentablemente no funciona ya que puedo seguir pingueando desde una IP
externa NO comprendida dentro de 172.xxx....

Esta es la configuración que tengo en iptables con las reglas que me has
pasado.

iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  60M   29G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
        state RELATED,ESTABLISHED
  120  5569 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
 3307  198K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
    3   336 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
 4095  190K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
        reject-with icmp-host-prohibited
    0     0 ACCEPT     all  --  eth0:2 *       172.16.0.0/20        0.0.0.0/0
    0     0 REJECT     all  --  eth0:2 *       0.0.0.0/0            0.0.0.0/0   
        reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth0   *       172.16.0.0/20        
190.xxx.xxx.xx      policy match dir in pol ipsec reqid 3 proto 50
    0     0 ACCEPT     all  --  *      eth0    190.xxx.xxx.xx       
172.16.0.0/20       policy match dir out pol ipsec reqid 3 proto 50
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
        reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes)
 pkts bytes target     prot opt in     out     source               destination




El 10/09/2013 06:04 p.m., Normando Hall escribió:
> Muchas gracias. Probaremos entonces y te comento.
>
> Saludos
>
> El 10/09/2013 05:59 p.m., David González Romero escribió:
>> En realidad eso lo pone el navegador
>>
>> Seria asi sin el enlace
>>
>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
>> iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
>>
>> Asi debería quedar...
>>
>> Saludos,
>> David
>>
>>
>> El 10 de septiembre de 2013 16:49, Normando Hall 
>> <[email protected]>escribió:
>>
>>> David una consulta.
>>>
>>> En la segunda reglas especificas el protocolo http:
>>>
>>> <http://172.16.0.0/8>
>>>
>>> Es correcto? Y debe ir asi encerrado entre los signos <>?
>>>
>>> Gracias
>>>
>>>
>>> El 06/09/2013 11:38 a.m., David González Romero escribió:
>>>
>>>> Perdon me equivoque:
>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
>>>> iptables -A INPUT -i eth0:2 -s 0 <http://172.16.0.0/8>/0 -p all -j
>>> REJECT
>>>> El 6 de septiembre de 2013 10:37, David González Romero <
>>> [email protected]
>>>>> escribió:
>>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
>>>>>
>>>>> Saludos,
>>>>> David
>>>>>
>>>>>
>>>>> El 6 de septiembre de 2013 04:18, Normando Hall <[email protected]
>>>> escribió:
>>>>> Hola amigos listeros.
>>>>>> Tengo configurado en centos6 strongswan que está bindeado a eth0:2.
>>>>>> Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico
>>>>>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
>>> interfaz
>>>>>> es una ip pública 190.210.xxx.xxx
>>>>>>
>>>>>> Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx)
>>>>>> debe ser ignorada por esta interfaz.
>>>>>>
>>>>>> Muchas gracias
>>>>>>
>>>>>> --
>>>>>> Normando Hall
>>>>>> Rosario - Argentina
>>>>>> [email protected]
>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> [email protected]
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> [email protected]
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> --
>>> Normando Hall
>>> Rosario - Argentina
>>> [email protected]
>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> [email protected]
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> [email protected]
>> http://lists.centos.org/mailman/listinfo/centos-es
>>

-- 
Normando Hall
Rosario - Argentina
[email protected]

_______________________________________________
CentOS-es mailing list
[email protected]
http://lists.centos.org/mailman/listinfo/centos-es

Responder a