Hola: Lo que yo hice cuando me sucedio algo similar, fue comenzar a aplicar las reglas de 1 en una. Finalmente llegaba a la que "molestaba" y procedia a un analisis mas completo de la regla determinada. Yo veo que tus reglas no son muchas por lo que es perfectamente factible de hacer. Suerte.
> Hola, como les comente en mi anterior mensaje, estoy tratando de > implementar un proxy transparente y un firewall, en principio al > implementar solo el proxy transparente (SQUID+iptables), de la forma: > > asumiendo que la eth0 es la LAN y eth1 es la salida ainternet > > # redirecciona squid > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j > MASQUERADE > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > # habilitar forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > hasta ahi todo ok (funcionan mis reglas y restricciones) > > pero cuando quiero incrementar reglas de control al firewall > (basicamente empezar a bloquear y permitir accesos), todo deja de > funcionar,el script que utilizo es el siguiente: > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto: DROP!!! > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > # redirecciona squid > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j > MASQUERADE > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > # habilitar forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > # Dejo pasar los paquetes ICMP hacia y desde el firewall. > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT > iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT > iptables -A INPUT -i eth1 -p ICMP -j ACCEPT > iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT > > #reglas de redireccion > iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT > > iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT > iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT > > Como todo dejo de funcionar tratae de implemetar reglas para dejar > pasar navegacion y ping (en ambos sentidos pr que la politica por > defecto es drop) pero ni aun con eso funciona > > > > Me podrian ayudar a resilver mi problema, ya que despues de esto debo > empezar a bloquear el msn y a permitir accesos remotos, pero no puedo > avanzar mientras esto no funcione bein. > > saludos y gracias adelntadas > >
