Tipler wrote:
> Que tal ...
>
>
> .. estoy dando mis primeros pasos con iptables y estoy intentando
> redireccionar, a través del firewall (iptables), las peticiones del
> servicio ssh desde internet a un servidor de la LAN.
>
> .. como el firewall posee su propio servicio ssh y ya ocupa el puerto
> 22, entonces arbitrariamente elijo el 4202 para el servicio ssh que se
> encuentra dentro del equpo de la LAN.
>
> coloco la siguiente regla para hacer NAT ...
> eth1: placa de red que se ve desde Internet
> eth0: placa de red que ve la LAN
>
> # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 4202 -j DNAT
> --to 192.168.0.200:22
>
> ahora tengo que hacer el Forward, entre eth1 y eth0 .. (pero no me
> queda del todo claro)
>
> # iptables -A FORWARD -p tcp -i eth1 -o eth0 -d 192.168.0.200 --dport
> 22 -j ACCEPT
>
> .. esta ultima regla es correcta?
> .. como sabe esta regla que tiene que hacer el forward de lo que entra
> por el 4202? (seguro que lo hace al 22 de 192.168.0.200, pq esta
> explicito en la regla)
La info que pones en la regla de FORWARD es solo para el match de
paquetes, es decir, determinar todos los requisitos que un paquete debe
cumplir para aceptarlo en FORWARD. Luego de aceptado, el paquete será
pasado al kernel, que lo ruteará según corresponda (en este caso el
paquete ya fue modificado para que su destino sea el IP 192.168.0.200
puerto 22). Finalmente, si existirá alguna, se aplicarán las reglas de
POSTROUTING.
Espero haber ayudado :-) Justo en estos días estuve trabajando bastante
con iptables.
Saludos!!
--
Federico Petronio
[EMAIL PROTECTED]
From [EMAIL PROTECTED] Fri Aug 5 12:22:11 2005
From: [EMAIL PROTECTED] (Miguel Angel Amador L)
Date: Fri Aug 5 12:20:56 2005
Subject: Iptables + redireccion de ssh ...
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
>
> La info que pones en la regla de FORWARD es solo para el match de
> paquetes, es decir, determinar todos los requisitos que un paquete debe
> cumplir para aceptarlo en FORWARD. Luego de aceptado, el paquete será
> pasado al kernel, que lo ruteará según corresponda (en este caso el
> paquete ya fue modificado para que su destino sea el IP 192.168.0.200
> puerto 22).
Solo para recalcar...
Ojo: las reglas de PREROUTING, se aplican antes de que el paquete sea
ruteado, por ende antes de aplicar el forward ya que antes de aplicar
el forward se debe dicernir si es un paquete hacia la maquina (INPUT)
en de transicion (FORWARD).
... el diagrama del post anterior deja clara la idea.
> Finalmente, si existirá alguna, se aplicarán las reglas de
> POSTROUTING.
y el POSTROUTING se aplica despues que el paquete tiene definida su
direccion (por eso post routing cambia el origen ..con SNAT)
> Espero haber ayudado :-) Justo en estos días estuve trabajando bastante
> con iptables.
:P
> Saludos!!
> --
> Federico Petronio
> [EMAIL PROTECTED]
Salu2
--
Miguel Angel Amador L.
[JoKeR][ jokercl at gmail dot com | User #297569 counter.li.org ]
