Re: Me lio con la tabla de rutas y iptables

Sun, 09 Nov 2003 10:03:44 -0600 

On Sun, Nov 09, 2003 at 04:23:37PM +0100, Miguel Angel Vazquez wrote:
> Hola lista.
> Me estoy me montando un servidorcito en casa con woody para trastear con 
> el iptables y demas y tengo algunas dudas q a ver si alguno me podeis 
> solventar.
> Tengo dos interfaces de red eth0 y eth1
> eth0 conecta a un router que hace nat en una red 192.168.1.0 y en la que 
> solo estan el router y el servidor con debian.
> eth1 conecta con una lan privada a la que se conectan 3 ordenadores en 
> una red 192.168.0.0.
> mi idea era que el server fuera el que hiciera nat a la red interna, 
> para lo cual tras mucho leer por ahi, creo que debo:
> 1) levantar los interfaces de red
> 2) Revisar las rutas que se crean por defecto y establecer un default 
> gateway, que sera el router
> 3) Comprobar que los modulos para el kernel 2.4.18 que tengo de iptables 
> estan cargados, que creo que son ip_contrack, ip_tables, etc...
> 4) Crear un script de inicio en el que asignar las reglas al firewall y 
> establecer en "on" el ip_forwad (oago asi :-))
>

mirate este art�culo 
http://www.badopi.org/node/view/148

Es una introducci�n a iptables que escrib�, es bastatne sencilla y trata
los 4 puntos anteriores.

> Si me falta algo o esto equivocado en algo me lo decis �vale?
> Mis dudas surgen entonces en dos puntos. Por lo que leo, en la tabla de 
> rutas no puede faltar la ruta al local, es decir al 127.0.0.0, pero 
> cuando hago un route -n no aparece, sin embargo funciona perfectamente 
> �hago algo mal?

Gaia:/home/donkey/temp# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
192.168.111.0   0.0.0.0         255.255.255.0   U     0      0        0
eth0
0.0.0.0         192.168.111.1   0.0.0.0         UG    0      0        0
eth0


Como ves no sale la ruta local, ya que para eso ta el loopback device
(lo)

> si la intento a�adir con route add -net 127.0.0.0 me da un error y solo 
> me deja si la a�ado con route add -net 127.0.0.0 netmask 255.0.0.0, pero 
> segun el man de route debaria funcionar con la primera orden �no?. Las 
> otras rutas que me salen son las correspondientes a la red 192.168.1.0 y 
> 192.168.0.0, nada mas �falta alguna?.
> Por otro lado supongo que el gateway en las maquinas de la lan sera 
> 192.168.0.1

Parece que tas un poco liado...
en el link de antes se explica esto, pero por si acaso.

si tu ordenador est� en una lan, tendr� una ip xxx.xxx.xxx.xxx, lo
normal es usar una clase c privada (ejemplo:192.168.1.xxx -> puede tener
254 ordenadores en esta red). El gateway no es mas que un ordenador o
dispositivo que conecta la red con otra red. Su ip ser� la que sea
dentro del rango 192.168.1.1-192.168.1.254. Normalmente se usa la
direcci�n terminada en .1, pero no siempre.

Cuando hagas los route add, acost�mbrate a usar la opci�n dev, ya que si
alg�n d�a configuras un ordenador con m�s de una interfaz te ahorrar�
problemas.

> Mi otra duda es donde debo poner el script con las rutas que cree para 
> que se actualicen al arraque. No se si van en etc/network/interfaces o 
> donde.

Si el script lo quieres lanzar a mano, crealo, hazlo ejecutable para
root, y metelo en /usr/sbin y lo ejecutas con 'nombrefichero' tal cual.
Si quieres que las reglas de iptables se guarden y se ejecuten
autom�ticamente al arrancar el ordenador, mira en los mails de esta
semana de la lista, que ha salido ya el tema.

> Y para terminar, me gustaria que me dijerais que modulos debbo cargar 
> para el iptables como m�nimo, teniendo en cuenta que habra un servidorr 
> ftp en la maquina
> Muchisimas gracias aunque sea por leerse el ladrillo, pero es que estoy 
> algo confundido.
> 
> 

poznoze... eso depende de ti, de si vas a crear un firewall, que tipo de
filtrados quieres hacer, si vas a hacer nat o no, etc etc. Por lo
general, la configuraci�n por defecto de iptables del kernel es
suficiente.


Aritz Beraza [Rei]
-- 
Aritz Beraza Garayalde         [EMAIL PROTECTED]
                               [EMAIL PROTECTED]
Linux User 272970              [http://www.upcnet.es/~abg]
************ 110011 TThhiinnggss YYoouu DDoo NNoott 
WWaanntt YYoouurr SSyysstteemm 
AAddmmiinniissttrraattoorr TToo SSaayy ************
95. ...and after I patched the microcode...

Responder a