Hola amigos, una duda, tengo un problema tengo un LAN interna la cual sale por internet a traves de un squid y tengo algunas reglas de iptables, pero da la casualidad que 3 pc´s tienen que conectarse a una VPN externa, lo mas curioso o extraño es que una se conecta y cuando quiero conectar otra PC no me deja se queda en registrando usuario y contraseña y nunca se logra conectar.
la configuración de mi Iptable es: echo "Aplicando Reglas de Firewall..." ## Limpiando Reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar ## Nota: eth0 es el interfaz conectado a la LAN y eth1 al router # Hacemos redireccion de puertos, para que el proxy sea transparente iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # APLICAMOS REDIRECCION PARA HABILITAR EL SERVIDOR WEB # QUE SE ENCUENTRA CONECTADO A LA LAN #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2 # Si quisiera que se pueda acceder a una máquina de la LAN # desde escritorio remoto, puerto: 3389 # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.1.2:3389 # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT #Cerramos el acceso de la LAN al puerto 25 SMTP iptables -A INPUT -s 192.168.1.0/24 -i eth0 -p tcp --dport 25 -j REJECT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT ## Abrimos el acceso a puertos de servidor web y correo, ## en caso de que nuestro firewall brinde dichos servicios. # Abrimos el puerto 80 de servidor web iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT # Abrimos el puerto 25 de SMTP iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT # Abrimos el pop3 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT # Abrimos el courier imap iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT # Aceptamos conexiones por SSH iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT # Aceptamos que se vea el NTOP del exterior iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3000 -j ACCEPT # Puerto para enviar información al SIAF iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1060 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20101 -j ACCEPT # CONEXION VPN iptables -A INPUT -s 201.230.227.254 -j ACCEPT ## Con las reglas FORWARD vamos a filtrar el acceso ## de la red local al exterior #CONTABILIDAD SIN INTERNET iptables -A FORWARD -s 192.168.1.78 -i eth0 -j REJECT iptables -A FORWARD -s 192.168.1.79 -i eth0 -j REJECT #Aceptamos que vayan al puerto 80 iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT #Aceptamos que vayan al puerto https iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 1723 -j ACCEPT #iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p udp --dport 53 -j ACCEPT # Aceptamos conexiones al SIAF iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 1060 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 20101 -j ACCEPT # Aceptamos conexion VPN SATCH iptables -A FORWARD -s 192.168.1.0/24 -d 201.230.227.254 -i eth0 -j ACCEPT #iptables -A FORWARD -s 201.230.227.254 -i eth1 -j ACCEPT # Direcciones con acceso al messenger live iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 192.168.1.4 -i eth0 -p tcp --dport 1863 -j ACCEPT # Consultas en linea a ESSALUD iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -p tcp --dport 7779 -j ACCEPT # Denegamos el acceso a las demas conexiones iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP # Ahora hacemos enmascaramiento de la red local # y activamos el BIT DE FORWARDING (imprescindible!!!!!) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras máquinas puedan salir a traves del firewall. #echo 1 > /proc/sys/net/ipv4/ip_forward #Ahora vamos a cerrar los accesos desde el exterior # Cerramos el rango de puerto bien conocido iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP echo "Las reglas se aplicaron correctamente"
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
