Estimados Amigos,
Queria hacerles una consulta ya que tengo un firewall debian con 2 tarjetas
de red
eth0 - 201.122.91.100/29 ( ip publica de mi proveedor, esta interfaz tiene
como gateway 201.122.91.99 y dns configurado 200.48.0.37 200.48.0.38 de
unired telefonica)
eth1 - 192.168.10.1 (Puerta de Enlace de la lan para que puedan salir a
internet los usuarios)
Este firewall tambien funciona como dns local y proxy squid funciona y
bloquea las redes sociales y otras paginas que la empresa no quieren que
los usuarios de la red lan puedan acceder, el problema pasa con mi servidor
de correos que es un Centos con cyrus ya que cuando pongo a funcionar el
firewall solo puedo enviar correo pero no puedo recibir a pesar de que me
responden lo que yo les envio desde mi lan a algunas cuentas de gmail, pero
localmente si envio y recibo.
Este servidor de correos esta en una ip privada de mi lan 192.168.10.200 y
la ip publica que resuleve el dominio es 201.122.91.101/29 como les digo
cuando pongo a produccion el firewall funciona todo ok y el correo puedo
enviar pero no puedo recibir desde afuera o lo que mis clientes le envian a
los usuarios de la red desde sus oficinas, yo estoy aplicando la siguiente
reglas en mi script firewall iptables, si puediran decirme que regla me
esta faltando para que me puedan ingresar los correos externos a mi
servidor y mis usuarios los puedan descargar se los agradeceria , le envio
mis lineas de firewall :
#!/bin/bash
#
##################################################
# DEFINIENDO LAS VARIABLES GLOBALES Y DE ENTORNO
##################################################
#
IPT="/sbin/iptables"
MPR="/sbin/modprobe"
#
###########################################################################################################
# LIMPIAMOS LAS REGLAS QUE SE PUEDEN ESTAR EJECUTANDO Y LAS CADENAS PARA
INPUT, OUTPUT, FORWARD Y NAT
###########################################################################################################
$IPT -F
$IPT -X
$IPT -Z
$IPT -t nat -F
$IPT -t nat -X
#
########################################################################################
#INSTALAMOS LOS MODULOS NECESARIOS PARA UTLIZAR LA REGLAS PARA UN MEJOR
CONTROL
########################################################################################
#
$MPR ip_tables
$MPR iptable_nat
$MPR ip_conntrack
$MPR ip_conntrack_ftp
$MPR ip_conntrack_irc
$MPR ip_nat_ftp
$MPR ipt_LOG
$MPR ipt_MARK
$MPR ipt_MASQUERADE
$MPR ipt_REDIRECT
$MPR ipt_TOS
$MPR ipt_limit
$MPR ipt_mac
$MPR ipt_state
$MPR ipt_multiport
$MPR ipt_tos
$MPR ipt_mark
$MPR iptable_mangle
#
#############################################
# DATOS DE LA INTERFAZ LOCAL
#############################################
#
LOCALHOST="127.0.0.1"
#
############################################################################
#IP DEL FW PARA LA RED LAN COMO PUERTA DE ENLACE A LA RED CORPORATIVA
############################################################################
#
MIIP="192.168.192.1"
#
############################################
# RED LAN CORPORATIVA
############################################
#
LAN_CORP="192.168.10.0/24"
WAN_UNIRED="201.122.91.0/29"
#
###############################################################
# VARIABLES PARA EL ACCESO DE LA RED LAN A LOS DNS INTERNOS
###############################################################
#
DNS1="192.168.192.1"
DNS2="192.168.192.200"
DNS3="200.48.0.37"
DNS4="200.48.0.38"
#
#################################################
# VARIABLES PARA LOS PUERTOS NO PRIVILEGIADOS
#################################################
#
PNP=1024:65535
#
#######################################################
# SE DEFINEN LA REDES LOCALES
#######################################################
#
NET_LOCALES="192.168.192.0/24"
#
###########################################
# IP'S CON PROXY'S INTERNOS
###########################################
#
IP_PROXY_INT="192.168.192.1" # proxy firewall
IP_PROXY_GER="192.168.192.20" # router unired
IP_FW_INT="192.168.192.1"
IP_FW_INT2="192.168.192.2"
#
######################################################
#VARIABLES PARA EL ANTIVIRUS, FTP INDRA
######################################################
#
IP_PUBLICA_100="201.122.91.100"
IP_PUBLICA_101="201.122.91.101"
IP_PUBLICA_102="201.122.91.102"
IP_INT_ANTIVIRUS="192.168.10.23"
#
#
######################################################################
# VARIABLES VARIAS FW CORPORATIVO - HERENCIA FW ANTERIOR
######################################################################
#
IP_WEB_EXT="201.122.91.100"
IP_SERVER_SINTAD="192.168.10.168"
IP_SERVER_CORREO="192.168.10.200"
IP_SERVER_WEB="192.168.10.200"
IP_PROXY_EXT="201.122.91.100"
IP_ROUTER_INT="201.122.91.99"
#
#####################################
# DEFINIENDO INTERFACES
#####################################
#
INET_IF="eth0"
CORP_IF="eth1"
#
#########################################################
#POLITICA POR DEFECTODE NUESTRO FIREWALL - DROP
#########################################################
#
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
#
#################################################################################
##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO
##### IRRESTRICTO A LA INTERFAZ DE LAZO
#################################################################################
#
$IPT -A INPUT -i $LOCALHOST -j ACCEPT
$IPT -A OUTPUT -o $LOCALHOST -j ACCEPT
#
####################################################################
# REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO
####################################################################
#
$IPT -A INPUT -s $MIIP -j ACCEPT
$IPT -A OUTPUT -d $MIIP -j ACCEPT
#
#######################################################################
# PUERTOS EN EL FIREWALL PARA EL SERVIDOR DE CORREOS
#######################################################################
#
# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
#
# Abrimos el pop3
#
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
#
# abrimos el imap
#
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT
#
# Abrimos puertos necesarios para Zimbra
#
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 993 -j ACCEPT
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 995 -j ACCEPT
#
#Abrimos Puerto 80 Web Server
#
$IPT -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
#
##########################################################
##### TENEMOS ACCESO DESDE LA RED LOCAL
###########################################################
#
$IPT -A INPUT -s $LAN_CORP -j ACCEPT
$IPT -A OUTPUT -s $LAN_CORP -j ACCEPT
$IPT -A FORWARD -s $LAN_CORP -j ACCEPT
#
###############################################################
##### PERMITIMOS QUE LA MAQUINA FIREWALL PUEDA SALIR AL SSH
###############################################################
#
$IPT -A INPUT -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED
-j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
#
################################################
##### REGLA PARA ACEPTAR HACER PING
################################################
#
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A OUTPUT -p icmp -j ACCEPT
$IPT -A FORWARD -p icmp -j ACCEPT
#
#######################################################
##### HABILITAR EL REENVIO DE PAQUETES
#######################################################
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
###########################################################
#PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS
###########################################################
#
$IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
#
# Enable statefull rules (after that, only need to allow NEW conections)
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#
#######################################################################################
##### NO ACEPTAR PAQUETES INVALIDOS
##### CUANDO (sync,acr,fin,psh,rst,urg) PUEDEN DAR COMO RESULTADO 11111 O
00000
##### LOS CUALES ESTOS SON INVALIDOS
#######################################################################################
#
$IPT -A FORWARD -p tcp -j DROP -m state --state INVALID
#
####################################################
# ENMASCARANDO LA RED PARA INTERNET
####################################################
#
$IPT -t nat -A POSTROUTING -s $LAN_CORP -o $INET_IF -j MASQUERADE
#
##################################################################
# REGLA PARA QUE SE VEAN LAS REDES CORPORATIVA Y NETLINES
##################################################################
#
#
$IPT -A FORWARD -s $LAN_CORP -d $WAN_UNIRED -j ACCEPT
$IPT -A FORWARD -s $WAN_UNIRED -d $LAN_CORP -j ACCEPT
####$IPT -A INPUT -i $IP_PROXY_EXT -s $LAN_CORP -p tcp --dport 5800 -j
ACCEPT
#
#################################################################
# REGLA PARA CREAR EL SNAT HACIA LA INTERFAZ WAN DEL FIREWALL #
# PARA QUE LAS DIRECCIONES INTERNAS SALGA A INTERNET CON ESA IP #
################################################################
#
$IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_CORP -p icmp -j SNAT --to
$IP_PROXY_EXT
#
#
#################################################################################################
##### PARA HACER PING DE LAN CORPORATIVA A INTERNET PERO NO DE INTERNET A
MI LAN CORPORATIVA #
#################################################################################################
#
#
$IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 0 -j ACCEPT
#
####################################################
# ABRIR PUERTO MYSQL 3306
####################################################
#
$IPT -A INPUT -s $LAN_CORP -m state --state NEW -m tcp -p tcp --dport 3306
-j ACCEPT
$IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s
$LAN_CORP -d $IP_SERVER_SINTAD --dport 3306 -j ACCEPT
#
###############################################################################
# PUERTOS DE INGRESO DE INTERNET A MI FIREWALL - PARA LA CADENA INPUT :
##############################################################################
#
for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do
$IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s
$LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT
done
for PROTOCOLO in udp tcp; do
for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do
$IPT -A INPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT
done
done
#
###################################################################################
# PUERTOS DE SALIDA DE MI FIREWALL A INTERNET - PARA LA CADENA OUTPUT :
###################################################################################
#
for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do
$IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $MIIP
-d $LAN_CORP --sport $PNP --dport $PUERTO -j ACCEPT
done
for PROTOCOLO in udp tcp; do
for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do
$IPT -A OUTPUT -p $PROTOCOLO -s $MIIP -d $DNS --dport 53 -j ACCEPT
done
done
#
###########################################################################
# PUERTOS DE SALIDA DE MI LAN A INTERNET - PARA LA CADENA FORWARD :
###########################################################################
#
for PUERTO in 21 25 80 110 143 443 993 995 3306 8080 8443; do
$IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -s
$LAN_CORP -d $MIIP --sport $PNP --dport $PUERTO -j ACCEPT
done
for PROTOCOLO in udp tcp; do
for DNS in $DNS1 $DNS2 $DNS3 $DNS4; do
$IPT -A FORWARD -p $PROTOCOLO -m state --state NEW,ESTABLISHED,RELATED
-s $LAN_CORP -d $DNS --dport 53 -j ACCEPT
done
done
#
##########################################################################
# REGLA PARA ACCESO AL GPS DE DETERMINADAS IP'S
##########################################################################
#
IP_GPS="192.168.10.18 192.168.10.21 192.168.10.51 192.168.10.57
192.168.10.59 192.168.10.104 192.168.10.106 192.168.10.107 192.168.10.112
192.168.10.155 192.168.10.206 192.168.10.204 192.168.10.205 192.168.10.208
192.168.10.210 "
for ACC_GPS in $IP_GPS
do
# $IPT -t nat -I POSTROUTING -s $TOTAL_ACCESS -j SNAT --to
$IP_PROXY_EXT
$IPT -t nat -I POSTROUTING -o $CORP_IF -s $ACC_GPS -j SNAT --to
$IP_PROXY_EXT
$IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -s $ACC_GPS -p tcp --dport 443 -j ACCEPT
done
#
##########################################################################
# REGLA PARA HABILITAR EL PROXY DE SALIDA A INTERNET PARA LA RED LOCAL
# REGLA PARA OBLIGAR A TODA LA RED A UTILIZAR EL PROXY CONVENCIONAL
##########################################################################
#
$IPT -t nat -A PREROUTING -p tcp --dport 80 -s $LAN_CORP -j REDIRECT
--to-port 8080
$IPT -t nat -A PREROUTING -p tcp --dport 443 -s $LAN_CORP -j REDIRECT
--to-port 8080
#
##########################################################
#REGLA PARA EL ACCESO DE CIERTAS IP'S CON PRIVILEGIOS
##########################################################
#
#IP_PRIVILEG="192.168.10.21 192.168.10.22 192.168.10.24 192.168.10.25
192.168.10.39 192.168.10.42 192.168.10.43 192.168.10.45 192.168.10.52
192.168.10.54 192.168.10.71 192.168.10.72 192.168.10.73 192.168.10.75
192.168.10.85 192.168.10.101 192.168.10.105 192.168.10.106 192.168.10.113
192.168.10.117 192.168.10.140 192.168.10.180 192.168.10.185"
#IP_PRIVILEG="192.168.10.66"
#for FR in $IP_PRIVILEG
#do
# $IPT -A FORWARD -p tcp -s $FR --dport 80 -j ACCEPT
# $IPT -A FORWARD -p tcp -s $FR --dport 443 -j ACCEPT
#done
#
################################################################
# HABILITACION DE PERMISO DE ACCESO AL SERVIDOR WEB LOCAL
# WEB
################################################################
#
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 25 -j DNAT
--to-destination $IP_SERVER_CORREO:25
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 110 -j DNAT
--to-destination $IP_SERVER_CORREO:110
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 143 -j DNAT
--to-destination $IP_SERVER_CORREO:143
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 993 -j DNAT
--to-destination $IP_SERVER_CORREO:993
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 995 -j DNAT
--to-destination $IP_SERVER_CORREO:995
$IPT -t nat -A PREROUTING -p tcp -d $IP_PUBLICA_100 --dport 80 -j DNAT
--to-destination $IP_SERVER_WEB
#
#######################################################
#REGLA PARA ACTUALIZAR EL ANTIVIRUS
#######################################################
#
$IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 3306 -j DNAT
--to-destination $IP_SERVER_SINTAD:3306
$IPT -t nat -A PREROUTING -p tcp -d $IP_WEB_EXT --dport 7074 -j DNAT
--to-destination $IP_INT_ANTIVIRUS:7074
#
###############
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://voip2.voip.net.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
Alojamiento de listas cortesia de http://cipher.pe
