2011/7/27 Gorka Expósito <gorkali...@yahoo.es>: > Buenas. > > Tengo la siguiente configuración: > > router -> 192.168.1.1/16 (ip interna hacia el debian-iptables) > debian-iptables -> eth0 - 192.168.1.2/16 (hacia el router) y eth2 - > 10.0.0.1/16 (hacia la lan de una única máquina de pruebas) > máquina-pruebas -> 10.0.0.46/16 gw 10.0.0.1 > > Lo que quiero es permitir justo las conexiones SSH a la máquina-pruebas > desde internet (y que la máquina-pruebas navegue por internet, claro). > > Este es el script de configuración de iptables:
En cual ip o eth? Solo para confundirte: Entrada all gateway (192.168.1.1); haces nat hacia 192.168.1.2 (eth0 entrada al firewall) de alli, haces forward y nat a 10.0.0.1 (eth2 salida firewall) luego haces nat hacia 10.0.0.46 De regreso: La 10.0.0.46 sale por 10.0.0.1 la 10.0.0.1 hace nat y forward hacia 192.168.1.2 la 192.168.1.2 hace nat hacia 192.168.1.1 y sale a internet. Espero haber entendido tu escenario. > #Destination NAT, envia peticiones 22 al 22 de la IP interna > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT > --to-destination 10.0.0.46:22 > > #Habilito el NAT, permite a la red interna salir a internet > > iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -d 0.0.0.0/0 -j > MASQUERADE > > # Dejo pasar los paquetes ICMP > > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT > > # Permito conexiones al puerto 22 (SSH) > > iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT > > # Acepto paquetes de conexiones ya establecidas > > iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT > > # Rechazamos paquetes de conexiones nuevas > > iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP > > # Rechazamos paquetes de forwarding de conexiones no establecidas > > #iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP > > > > Si descomento la última línea funciona, si no lo hago no funciona. > > ¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo > conseguir lo que busco sin perder seguridad? > > Gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAFxkjq=2xjuvheycadhjxh6rxz41rcatkpcwadl4h4mepvp...@mail.gmail.com