Re: Iptables: planteamiento

Wed, 30 Mar 2005 07:35:01 -0800 

Pablo Braulio wrote:

El Martes, 29 de Marzo de 2005 11:23, David escribi�:


Hola !!
Estoy practicando con el iptables para controlar el acceso a una red
(LAN) y tambi�n la salida de la misma (INTERNET).
En los manuales, how-to's y dem�s se comenta el ejemplo mas t�pico(
normal ):

 Internet ---- Router ---- Firewall ---- Red

En cambio, yo s�lo tengo 2 ordenadores conectados por un switch. Uno de
ellos tiene un m�dem (ADSL) y le permite conectarse al otro.


Supongo que te refieres que tienes un equipo con dos tarjetas de red que permite conectar a internet al otro.


Si, eso es.

� Qu� diferencias hay en cuanto al planteamiento de las reglas entre los
dos modelos ?


Ninguna


   - Partiendo de la base que todo se acepta por defecto. ( INPUT,
OUTPUT i FORWARD ACCEPT ) voy cerrando servicios y me funciona.
   _ Pero en cuanto parto de la base que todo se deniega ( INPUT,
OUTPUT i FORWARD DROP ),  abro los servicios por orden seg�n el manual
de la p�gina de  Pello <http://www.pello.info/> y no consigo tener
acceso a internet en ninguna de las 2 m�quinas.

Gracias,


David



Para mayor claridad pega el script de iptables.


Aqu� pego el script con las reglas para iptables. ( No est� completo, lo s� !! :-))) )

#!/bin/bash

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#Nota: eth0 (tarjeta que conecta con el otro ordenador, LAN ); eth1 ( m�dem ADSL)
#Habilito acceso al localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Enmascara la IP de sortida.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

#Acceso web.
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT

#Consulta de DNS.
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT

#Consulta p�ginas seguras.
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT


Saludos,

                                                                     David


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a