--- [EMAIL PROTECTED] wrote:
> Hola Luis, > > Tendrias que usar la tabla filter: > > #Reenviar el paquete al servidore HTTP > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport > 80 -j DNAT --to-destination 192.168.3.2:80 > #Permitir que el paquete ingrese a la DMZ > iptables -A FORWARD -d 0.0.0.0/0.0.0.0 -p tcp > --dport 80 -d 192.168.3.2 -j ACCEPT > #Permitir que el paquete salga de la DMZ > iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -p tcp > --sport 80 -d 192.168.3.2 -j ACCEPT > > Ademas creo que te falta activar el > redireccionamiento de paquetes > > echo 1 > /proc/sys/net/ipv4/ip_forward > > Saludos > Jeler Vásquez > > >Hola: > > > >No es ley pero las politicas de denegacion por > defecto se usan para la > >tabla filter y no para la tabla nat, no le veo > sentido usar DROP en > >nat. Asi te evitaras muchos problemas. Usa politica > por defecto en > >DROP solo para INPUT, FORWARD y OUTPUT. > > > >Ahora si estas usando DROP por defecto en FORWARD, > ¿no olvidas tambien > >permitir el trafico de paquetes al puerto 80 entre > Internet y tu > >Servidor Web (y viceversa)? > > > >Espero te haya ayudado en algo. > > El 29/08/06, luis chocos<[EMAIL PROTECTED]> > escribió: > > Hola listeros: > > > > Estoy implementando un firewall para poner mi > servidor > > web en una DMZ. > > El firewall consta de 3 tarjetas de red: > > > > eth0 --> IP: 192.168.1.2 --> Conectado al router > > eth1 --> IP: 192.168.10.1 --> Conectado a la LAN > > eth2 --> IP: 192.168.3.1 --> Conectado a la DMZ > > > > La IP del servidor Web es 192.168.3.2. Ya he > > redireccionado todos los puertos > > de mi router al Firewall y he activado el > forwardeo en > > mi firewall. > > > > Estoy tratando de trabajar con políticas DROP por > > defecto pero no me permite > > visualizar desde fuera el servidor web. > > > > Mi script es el siguiente: > > > > iptables -F > > iptables -t nat -F > > iptables -t mangle -F > > iptables -X > > iptables -t nat -X > > iptables -t mangle -X > > > > iptables -P INPUT DROP > > iptables -P OUTPUT DROP > > iptables -t nat -P PREROUTING DROP > > iptables -t nat -P OUTPUT DROP > > iptables -t nat -P POSTROUTING DROP > > > > #Loopback > > iptables -A INPUT -i lo -j ACCEPT > > iptables -A OUTPUT -o lo -j ACCEPT > > > > #DNAT > > iptables -t nat -A PREROUTING -i eth0 -p tcp > --dport > > 80 -j DNAT --to 192.168.3.2:80 > > > > #Enmascaramiento > > iptables -t nat -A POSTROUTING -o eth0 -s > > 192.168.3.0/24 -j MASQUERADE > > > > > > De antemano les agradezco la ayuda, > > > > Saludos. Gracias Juan y Jeler por las respuestas. Una consulta adicional, en el caso de que se tuviese una IP pública aparte a la del router y se quisiera asignar al web server, qué enfoque se recomendaría: 1. Adicionar como una IP virtual a la tarjeta de red que conecta al router (eth0:0) y hacer NAT a la IP interna del web server. 2. Asignar esta dirección directamente a la tarjeta de red del webserver __________________________________________________ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
