On Tue, 22 Mar 2005 10:48:04 -0400, AleXerTecH <[EMAIL PROTECTED]> wrote: > Hola a todos!! > > Adjunto mi grano de arena con un script de firewall que construyo un > amigo con iptables, solo agradezco seriedad a la hora de conservar los > nombres de los autores, usenlo como quieran pero por favor no eliminen > los nombres de los autores ni las referencias. > > El problema es el siguiente: Este script funciona perfecto en en el > filtrado entre el servidor y el firewall, pero los computadores de la > red interna no pueden ver los dominios web del servidor. Es decir, > desde internet si pueden ver las paginas web pero desde la intranet > no. Desde adentro solo ven el DNS, pero no pueden ver ninguna > www.dominio.com o *.dominio.com, solo pueden ver dominio.com (sin nada > antes). > > Aclaro que si hago ping a estas dir (*.dominio.com), si llega, pero si > trato de acceder desde un navegador no se puede. > > Espero haberme explicado. > > Adjunto mi granito de arena en el mundo DEBIAN (aunq se que pueden > haber cosas mejores), y espero su ayuda. > > Un saludo y gracias! > > --------------------------------------------------------------------- > ( o < -! Debian Sarge > / /\ > V_/_ > > ! ..::'''AleXerTecH'''::.. ! ! > > > Hola, estoy echandole un ojo a tu script y hay un par de cosas que no s� si est�n bien:
######################################################################### # Reglas del renvio de paquetes. # ######################################################################### #$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT No s� porqu� est� comentada esta regla, si es porque quieres capar algunos servicios de los PCs, �no deber�an estar abiertos los servicios que s� les dejas en alguna parte? $IPTABLES -A FORWARD -i $INET_IFACE -j ACCEPT Esto s� que me parece raro. �Dejas que todo lo que venga de internet entre? Teniendo en cuenta que m�s abajo dejas que pasen los paquetes RELATED y STABLISHED, creo que ser�a conveniente que esto est� cerrado y abras en funci�n de lo que quieres publicar en internet o si quieres enrutar algo en concreto. $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT Creo que la primera de estas 3 reglas es la m�s adecuada, aunque te�ricamente te valdr�a esta otra en su lugar. Si no eres demasiado conspiranoico y quieres dejar que los PCs de la LAN tengan acceso a lo que sea de internet, yo descomentar�a la primera regla y har�a desaparecer del mapa la segunda y la tercera regla;-). En cualquier caso, tal como lo tienes ahora no le veo mucho sentido. Aunque si lo haces como te comento, debes dejar pasar el tr�fico para los puertos que tienes redirigidos con DNAT. Por ejemplo, para la p�gina web algo as�: $IPTABLES -A FORWARD -i $INET_IFACE -o $ILAN_IFACE --dport 80 -m state --state NEW -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-leve l DEBUG --log-prefix "IPT FORWARD packet died: " $IPTABLES -A FORWARD -i $INET_IFACE -m state --state NEW,INVALID -j DROP A esta regla, por ejemplo, no creo que llegen nunca paquetes porque en la segunda regla de FORWARD, tal como lo tienes hasta ahora, ya has dejado pasar todo ;-) Lo siento pero no tengo m�s tiempo para revisar el resto del scrpit, pero te recomiendo que le eches un vistazo a fondo ;-). Si luego tengo un rato, lo miro con m�s calma. Suerte!
