Re: [CentOS-es] Firewall en VPN

César Martinez Mon, 27 Oct 2014 14:49:15 -0700

Gracias Francesc si el firewall esta solo en la oficina A, como comentebajo mi firewall y al conexión se efectua te paso al salida del comandoiptables -nL


Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

REJECT all -- 0.0.0.0/0 127.0.0.0/8 reject-withicmp-port-unreachable

ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0
ACCEPT     41   --  0.0.0.0/0            0.0.0.0/0

REJECT all -- 192.168.0.0/24 0.0.0.0/0 reject-withicmp-port-unreachableACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8limit: avg 1/sec burst 5

ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0

REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137reject-with icmp-port-unreachableACCEPT all -- 0.0.0.0/0 0.0.0.0/0 stateRELATED,ESTABLISHED

ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1976
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:587
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11200
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3389

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: MSSQL '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1433

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Deepthrt '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6670

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Sub7 '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6711

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Sub7 '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6712

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Sub7 '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6713

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Netbus '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:12345

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Netbus '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:12346

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: Netbus '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20034

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: BO '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:31337

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix`Firewalled packet: XWin '

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6000

DROP udp -- 0.0.0.0/0 0.0.0.0/0 udpdpts:33434:33523REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113reject-with icmp-port-unreachableREJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-withicmp-port-unreachableREJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80reject-with icmp-port-unreachableREJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443reject-with icmp-port-unreachableLOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpflags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix`Firewalled packet:'

REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0 reject-with tcp-reset
DROP       all  --  0.0.0.0/0            0.0.0.0/0


Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "accounts.google.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "gmail.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "hi5.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "yahoo.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "gmail.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "spotify.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "imo.im" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "twitter.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "facebook" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "facebook.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "login.live.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "outlook" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "outlook.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "outlook.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "live.com" ALGO name bm TO 65535FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "hotmail.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "accounts.google.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "gmail.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "hi5.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "yahoo.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "gmail.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "spotify.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "imo.im" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "twitter.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "youtube" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "facebook" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "facebook.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "login.live.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "outlook" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "outlook.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "live.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443STRING match "hotmail.com" ALGO name bm TO 65535FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443destination IP range 0.0.0.0-0.0.0.0REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcpdpt:55347 reject-with icmp-port-unreachable

ACCEPT     tcp  --  0.0.0.0/0            192.168.1.0/24      tcp dpt:3389
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137reject-with icmp-port-unreachableREJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138reject-with icmp-port-unreachableREJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139reject-with icmp-port-unreachableREJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137reject-with icmp-port-unreachableREJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138reject-with icmp-port-unreachableREJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139reject-with icmp-port-unreachable

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 stateRELATED,ESTABLISHED

ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3         tcp dpt:3389

LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcpflags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix`Firewalled packet:'

REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0 reject-with tcp-reset
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.0/24
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain FACEBOOK (31 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.10         0.0.0.0/0
ACCEPT     all  --  192.168.0.103        0.0.0.0/0
ACCEPT     all  --  192.168.0.122        0.0.0.0/0
ACCEPT     all  --  192.168.0.140        0.0.0.0/0
ACCEPT     all  --  192.168.0.142        0.0.0.0/0
ACCEPT     all  --  192.168.0.154        0.0.0.0/0
ACCEPT     all  --  192.168.0.170        0.0.0.0/0
ACCEPT     all  --  192.168.0.28         0.0.0.0/0
ACCEPT     all  --  192.168.0.3          0.0.0.0/0
ACCEPT     all  --  192.168.0.30         0.0.0.0/0
ACCEPT     all  --  192.168.0.52         0.0.0.0/0
ACCEPT     all  --  192.168.0.61         0.0.0.0/0
ACCEPT     all  --  192.168.0.63         0.0.0.0/0
ACCEPT     all  --  192.168.0.64         0.0.0.0/0
ACCEPT     all  --  192.168.0.67         0.0.0.0/0
ACCEPT     all  --  192.168.0.69         0.0.0.0/0
ACCEPT     all  --  192.168.0.7          0.0.0.0/0
ACCEPT     all  --  192.168.0.8          0.0.0.0/0
ACCEPT     all  --  192.168.0.83         0.0.0.0/0
ACCEPT     all  --  192.168.1.0          0.0.0.0/0
ACCEPT     all  --  192.168.1.150        0.0.0.0/0
ACCEPT     all  --  192.168.1.7          0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FACEBOOK1 (20 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.10         0.0.0.0/0
ACCEPT     all  --  192.168.0.103        0.0.0.0/0
ACCEPT     all  --  192.168.0.122        0.0.0.0/0
ACCEPT     all  --  192.168.0.140        0.0.0.0/0
ACCEPT     all  --  192.168.0.142        0.0.0.0/0
ACCEPT     all  --  192.168.0.154        0.0.0.0/0
ACCEPT     all  --  192.168.0.170        0.0.0.0/0
ACCEPT     all  --  192.168.0.28         0.0.0.0/0
ACCEPT     all  --  192.168.0.3          0.0.0.0/0
ACCEPT     all  --  192.168.0.30         0.0.0.0/0
ACCEPT     all  --  192.168.0.52         0.0.0.0/0
ACCEPT     all  --  192.168.0.61         0.0.0.0/0
ACCEPT     all  --  192.168.0.63         0.0.0.0/0
ACCEPT     all  --  192.168.0.64         0.0.0.0/0
ACCEPT     all  --  192.168.0.67         0.0.0.0/0
ACCEPT     all  --  192.168.0.69         0.0.0.0/0
ACCEPT     all  --  192.168.0.7          0.0.0.0/0
ACCEPT     all  --  192.168.0.8          0.0.0.0/0
ACCEPT     all  --  192.168.0.83         0.0.0.0/0
ACCEPT     all  --  192.168.1.0          0.0.0.0/0
ACCEPT     all  --  192.168.1.150        0.0.0.0/0
ACCEPT     all  --  192.168.1.7          0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0

--
Saludos Cordiales

|César Martínez | Ingeniero de Sistemas | SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular: 0999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y  Cuero y Caicedo
|Quito - Ecuador - Sudamérica

On 27/10/14 16:45, Francesc Guitart wrote:

Hola César,

Para poder ver qué otras reglas hay en el firewall, pero sobretodo, enqué orden envía la salida del comando iptables -L -n

Entiendo que las reglas que pones están en un firewall en la oficina A¿No hay firewall en la oficina B?


El 27/10/14 a las 22:21, César Martinez escribió:

Saludos amigos acudo a ustedes haber quien me puede echar una mano,
tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall,
existe una VPN que tiene montada el proveedor de internet con dos
routers entre dos ciudades, le pedí al proveedor que todo el tráfico que
genera el tunel se envie a mi servidor de tal forma que yo controlo
todos los accesos del tunel de los usuarios, el segmento que maneja la
red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X,
necesito que desde la oficina en la red 192.168.1.X pueda abrir el
escritorio remoto de un servidor con windows via terminal server por el
puerto 3389, para ello he creado estas reglas

$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT
$IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport
3389 -j ACCEPT

Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j
ACCEPT

No logro hacer que desde la red local del otro segmento se abra la
terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para
probar si es mi firewall le bajo momentaneamente y sin problemas se abre
el terminal desde la red B hacia la A

Agradezco a las personas que me puedan guiar que me hace falta para que
puedan usar el terminal sin problemas


_______________________________________________
CentOS-es mailing list
[email protected]
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Firewall en VPN

Responder a