Les paso mi script : #!/bin/sh
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -F INPUT iptables -P INPUT DROP iptables -F OUTPUT iptables -P OUTPUT ACCEPT iptables -F FORWARD iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT /sbin/iptables -A INPUT -s 192.168.0.0/16 -i vpn -j ACCEPT #/sbin/iptables -A INPUT -s 0.0.0.0 -d 192.168.1.0/24 -j DROP echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE /sbin/iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.4:80 ### Creamos chains de estado /sbin/iptables -N allowed-connection /sbin/iptables -F allowed-connection /sbin/iptables -A allowed-connection -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A allowed-connection -i ppp0 -p tcp -m state --state NEW --dport www -j ACCEPT /sbin/iptables -A allowed-connection -i ppp0 -p tcp -m state --state NEW --dport smtp -j ACCEPT /sbin/iptables -A allowed-connection -i eth1 -p tcp -m state --state NEW --dport 995 -j ACCEPT #Trafico que entra /sbin/iptables -N allow-ssh-traffic-in /sbin/iptables -F allow-ssh-traffic-in /sbin/iptables -A allow-ssh-traffic-in -i ppp0 -p tcp -m state --state NEW --dport ssh -j ACCEPT /sbin/iptables -A allow-ssh-traffic-in -p tcp --sport ssh -j ACCEPT ### Tráfico que sale /sbin/iptables -N allow-ssh-traffic-out /sbin/iptables -F allow-ssh-traffic-out /sbin/iptables -A allow-ssh-traffic-out -p tcp --dport ssh -j ACCEPT /sbin/iptables -A OUTPUT -m state --state NEW -o ppp0 -p TCP --dport 25 -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p ICMP --icmp-type 8 -j DROP /sbin/iptables -A INPUT -i ppp0 -p tcp --dport 655 -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p udp --dport 655 -j ACCEPT /sbin/iptables -A INPUT -j allow-ssh-traffic-in /sbin/iptables -A INPUT -j allowed-connection /sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p tcp --dport 5432 -j DROP /sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p udp --dport 5432 -j DROP /sbin/iptables -A INPUT -p TCP -m state --state NEW ! --syn -j DROP echo "...VPN" /sbin/iptables -A FORWARD -i ppp0 -o eth1 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o ppp0 -s 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i vpn -o eth1 -s 192.168.0.0/16 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o vpn -s 192.168.1.0/24 -d 192.168.0.0/16 -j ACCEPT echo "...hecho" /sbin/iptables -A FORWARD -o lo -j ACCEPT /sbin/iptables -A FORWARD -j allow-ssh-traffic-in /sbin/iptables -A FORWARD -j allowed-connection /sbin/iptables -A FORWARD -i eth1 -j ACCEPT Modifique para redireccionar a un pc con Linux corriendo apache, pero tampoco funciona, es mas dejo sin internet a la Lan, si comento la linea del PREROUTING soluciono el tema de internet, pero no consigo redireccionar alguna peticion a un puerto determinado hacia algun PC de la LAN? --- Alejandro Lopez Reinike <[EMAIL PROTECTED]> escribió: > yo uso la siguiente linea para bittorrent > > iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp > --dport 6881 -j DNAT > --to-destination 192.168.0.2 > > Sabras cambiarla para tu caso (Puerto y direccion) > > fernando villarroel escribió: > > >HOla, tengo el siguiente problema, en la empresa > donde > >trabajo colocamos un servidor Debian que hace la > >funcion de gateway para dar salida a los PC de la > LAN > >a Internet, el problema que tengo es que uno de los > PC > >(192.168.2.6) corre un servidor MySQL en un Windows > >98, Mi pregunta es como direcciono cualquier > conexion > >que venga de INternet al puerto 3306 hacia el pc > >192.168.2.6, estuve probando agregando la siguiente > >regla, pero no me funciono: > > > >/sbin/IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp > >--dport 3306 -j DNAT --to 192.168.2.6:3306 > > > >Alguna idea el script del firewall ya contenia las > >siguientes lineas: > > > >echo 1 > /proc/sys/net/ipv4/ip_forward > >/sbin/iptables -t nat -A POSTROUTING -s > 192.168.1.0/24 > >-o ppp0 -j MASQUERADE > > > >Ademas la politica por defecto son DROP > > > >Tambien probe dejando todo en ACCEPT y probando > solo > >las reglas anteriores, pero tampoco me funciono. > > > >Fernando. > > > > > > > >______________________________________________ > >Renovamos el Correo Yahoo!: ¡250 MB GRATIS! > >Nuevos servicios, más seguridad > >http://correo.yahoo.es > > > > > > > > > > > ______________________________________________ Renovamos el Correo Yahoo!: ¡250 MB GRATIS! Nuevos servicios, más seguridad http://correo.yahoo.es From [EMAIL PROTECTED] Fri Dec 24 09:38:29 2004 From: [EMAIL PROTECTED] (Rodrigo Henriquez M. - Corporacion Linux S.A.) Date: Fri Dec 24 09:37:17 2004 Subject: Redireccionar con IPTABLES In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> El jue, 23-12-2004 a las 22:05, fernando villarroel escribió: > HOla, tengo el siguiente problema, en la empresa donde > trabajo colocamos un servidor Debian que hace la > funcion de gateway para dar salida a los PC de la LAN > a Internet, el problema que tengo es que uno de los PC > (192.168.2.6) corre un servidor MySQL en un Windows > 98, Mi pregunta es como direcciono cualquier conexion > que venga de INternet al puerto 3306 hacia el pc > 192.168.2.6, estuve probando agregando la siguiente > regla, pero no me funciono: > > /sbin/IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp > --dport 3306 -j DNAT --to 192.168.2.6:3306 > > Alguna idea el script del firewall ya contenia las > siguientes lineas: > > echo 1 > /proc/sys/net/ipv4/ip_forward > /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 > -o ppp0 -j MASQUERADE > > Ademas la politica por defecto son DROP > > Tambien probe dejando todo en ACCEPT y probando solo > las reglas anteriores, pero tampoco me funciono. Hola. Te falta habilitar el FORWARD bidireccionalmente y utilizar connection tracking. Saludos. -- Rodrigo Henriquez M. http://www.corporacionlinux.cl Corporacion Linux S.A. Fonos: 02 2442988 - 02 2444250
