Acá en la empresa tenemos un servidor (ubuntu feisty) que hace de router (iptables). Como gracia existe un servidor pptp para conexiones vpn. Podemos conectarnos desde afuera sin problemas a través de esta conexión, pero una vez dentro, no podemos conectarnos a:
- terminal server (a un equipo local con win2k3) - servidor samba Está de más decir que localmente si podemos realizar estas conexiones. Ahora, para poder conectarnos, debo comentar una regla de iptables, pero que me abre todas las conexiones. He probado de muchas maneras optimizar este scriptde iptables, pero siempre me veo obligado a abrir las conexiones completamente para que funcione el pptp. Me gustaría saber si me pudiesen ayudar a corregir este script para lograr conectarme con pptp pero que los puertos de ares y otros queden bloqueados. La idea es que solo puedan conectarse desde la empresa a internet a los siguientes puertos http, https, pop, smtp, dns. Y a través de la conexión pptp que puedan conectarse a nuestro servidor samba y al servidor terminal server con win2k3. Adjunto script: #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 192.168.168.0/24 -i eth0 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -s 192.168.168.5 -i eth0 -j ACCEPT iptables -A FORWARD -s 192.168.168.193 -i eth0 -j ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -j DROP iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 30000:50000 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 30000:50000 -j DROP De antemano, muchas gracias. Juan Pablo
