primero loguearse en ese servidor y estando ahi hacer otro ssh para entrar en la maquina que desea?
al menos yo lo veo mejor,
porque que pasa si por alguna razon quieres entrar en el servidor que comparte internet??
se le hace mas dificil porque si le hace un ssh este se va a ir a la otra pc
Pedro Pozuelo wrote:
On 5/12/05, Leo <[EMAIL PROTECTED]> wrote:
Pedro Pozuelo wrote:
Dejando lo del forward de lado, ya que por distintas razones no puedoOn 4/29/05, Javi <[EMAIL PROTECTED]> wrote:
El jue, 28-04-2005 a las 23:41 -0300, Leo escribi�:
Hola Lista.
Tengo dos cuestiones que no he podido resolver con iptables.
He leido unos cuantos apuntes al respecto, y si bien me he enterado de muchas cosas, no he podido dar con alguno que me indique puntualmente como solucionar lo que a continuaci�n les detallo.
- Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a la pc que comparte internet), pero si trato de conectarme a una de las pc internas con esto:
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \ --to 192.168.0.111:22
No puedo hacerlo.
Te falta redireccionar, cadena de forward.
Adem�s de que te falta permitir el tr�fico con una cadena FORWARD, �c�mo va a saber el firewall a cual de los PCs intentas conectarte?. Tendr�s que usar otro puerto de entrada para el otro PC, �no?
probar, no entiendo lo que dices de que "como va a saber el firewall a
cual de los pcs...", eso esta bien claro.
No puedes dejar lo de FORWARD al lado. Para que te hagas una idea, para cada servicio o puerto que quieras enrutar:
1� Necesitas redireccionar el tr�fico con la regla que t� mismo has puesto: iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT --to 192.168.0.111:22
2� Dudo que tengas las reglas de FORWARD por defecto en ACCEPT porque es una locura. As� que tendr�s que permitir el tr�fico que en la regla anterior has enrutado: iptables -A FORWARD -s x.x.x.x -d 192.168.0.111 --dport 22 -j ACCEPT
Con "como va a saber el firewall a cual de los pcs...", creo que no me expres� nada bien. Me refer�a a que si redireccionas el tr�fico SSH a la m�quina 192.168.0.111 no podr�s conectarte al PC en el que estamos definiendo estas reglas por SSH. Y bajo mi punto de vista limita tu capacidad para administrarlo remotamente. Pero vamos, que lo puedes dejar as� y no hay ning�n problema... no s� si me explico.
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \ --to 192.168.0.111:22
La ip desde la cual trato de conectarme es x.x.x.x y a la cual quiero llegar es 192.168.0.111
Alguien sabe que puede estar mal en mi script de iptables que no me permite hacer estas redirecciones?
forward
Por �ltimo, hace poco le he a�adido una nueva interfaz de red de mi gateway para poder separar una red en 2 distintas.
Esto funciona perfecto, pero no encuentro la manera de evitar que desde una de las redes puedan acceder a la otra.
Oportunamente un compa�ero de esta lista me indic� lo siguiente:
iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
Pero no logro "separar" ambas redes?
Alguien tiene una pista de lo que puede estar pasando?
nop :(
Presiento que lo que realmente necesitas es una regla de FORWARD, de hecho 2 reglas (una para cada red):
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP
Por cierto, ten en cuenta que los paquetes van comparandose con las reglas dependiendo de el orden en el que las tengas. Prueba a poner estas reglas antes (lo m�s arriba posible del script despues de los FLUSH)) a ver qu� tal.
Ok. Gracias Pedro.
Muchas Gracias.
Salu2.
--- Dat1.net --- [Este mail fue controlado con Declude Virus/F-Prot]
Creo que leyendo solo la lista se hubiera respondido la pregunta, si no me equivoco te falta la cadena forward o sea asi como haces el prerouting hace el forward (si tenes dos placas en el firewall, seguramente). sino no te entendi, disculpame Saludos.
Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a alguien que quer�a cambiar el puerto de SSH y es lo mismo que necesitas t�. Lo digo sin acritud, pero creo que hay que leer y buscar m�s antes de preguntar.
Me auto copio ;-) :
En el firewall dar permiso a las conexiones: iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT --to 192.168.1.2:22 iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
[Nuevo_puerto] es el puerto que deber�s especificar en el cliente cuando intentas conectarte al PC de dentro de la LAN 192.168.1.2 es la IP del PC al que intentas conectarte de la LAN
:D -- Javi. Linux registered number 354635
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Pedro, antes que nada gracias por tu respuesta.
Te respondo reci�n ahora porque no hab�a visto este mensaje. (te voy respondiendo debajo de tus opiniones).
Ok, espero que con lo que te he dicho puedas solucionarlo, pero como ya dije tienes la respuesta a un par de busquedas de google. Por �ltimo, por favor no respondas a mi email personal, que para eso ya tenemos la lista.
Un saludo,
--- Dat1.net --- [Este mail fue controlado con Declude Virus/F-Prot]
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
