2009/9/15 Juan Andres Ramirez <[email protected]>: > 2009/9/14 Sebastián Veloso Varas <[email protected]>: >> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < >> [email protected]> escribió: >> >>> Estimados : >>> Tengo un firewall controlando la lan con iptables. Resulta que >>> tengo la politica de drop, habriendo los puertos que necesito, y esto >>> lo tengo funcionando hace unas semanas con unos poco usuarios, y >>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >>> donde también estan los usuarios con la puerta 2, que seria la del >>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >>> problema que tengo es el acceso entre computadores desde la 100 a la >>> subred 101. >>> >>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >>> un computador en la subred 101 desde la red 100 no puedo. >>> >> >> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) > > Tengo mis dudas aca, porque tengo en drop la politicas: > > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y > OUTPUT, puedo ver la subred 101 desde la red 100. > > Mas abajo pego las reglas completas. > >> >> >>> >>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >>> algun puerto cerrado y no se cual es. >>> >> >> DROP por defecto y si quieres ver redes compartidas, usas los puertos >> 137,138 UDP y 139,445 TCP. >> >>> >>> Adjunto archivo txt con las reglas, por si alguien se interesa en >>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >>> quiero, solo me falta ese pequeño detalle. >>> >>> >> El adjunto no llego a la lista....trata de hacer copy paste si es posible. > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > #ACCESO AL LOCALHOST > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > #COMUNICACION DNS AL LOCALHOST > iptables -A INPUT -p udp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > > #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL > iptables -A INPUT -i eth1 -j ACCEPT > > #CONSULTAS DNS > iptables -A FORWARD -p udp --dport 53 -j ACCEPT > > # ACCESO SSH DE MI IP > iptables -A INPUT -s 192.168.100.253 -j ACCEPT > iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT > > #ACCESO A WEB > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT > iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT > # Permitimos que la maquina pueda salir a la web > iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > # Ya tambien a webs seguras > iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state > RELATED,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT > > #ACCESO A MAIL > iptables -A FORWARD -p tcp --dport 25 -j ACCEPT > iptables -A FORWARD -p tcp --dport 110 -j ACCEPT > iptables -A FORWARD -p tcp --dport 143 -j ACCEPT > iptables -A FORWARD -p tcp --dport 995 -j ACCEPT > iptables -A FORWARD -p tcp --dport 465 -j ACCEPT > > #ACCESO A SNMP > iptables -A FORWARD -p udp --dport 169 -j ACCEPT > > #ACCESO A FTP > iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT > > #ACCESO A TELNET > iptables -A FORWARD -p tcp --dport 23 -j ACCEPT > > #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS > iptables -A FORWARD -p udp --dport 137 -j ACCEPT > iptables -A FORWARD -p udp --dport 138 -j ACCEPT > iptables -A FORWARD -p tcp --dport 139 -j ACCEPT > iptables -A FORWARD -p tcp --dport 445 -j ACCEPT > iptables -A FORWARD -p tcp --dport 135 -j ACCEPT > iptables -A FORWARD -p udp --dport 135 -j ACCEPT > > #DEJAMOS PASAR LOS PING > iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT > iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT > iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT > > #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) > iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s > 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 > iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s > 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 > > # Con esto permitimos hacer forward de paquetes en el firewall, osea > # que otras maquinas puedan salir a traves del firewall. > echo 1 > /proc/sys/net/ipv4/ip_forward > > > >> >> >>> >>> Muchas gracias. >>> >> >> >> >> Saludos, Sebastian >> > >
mm consulta sobre tu script: 1- cuales son las tarjetas de red que manejas y hacia adonde miran? (en que tarjeta estan las dos redes que nombras, etc) 2- El firewall sirve algun protocolo web, dns, correo , aparte de funcionar de firewall ? pq tienes reglas input que si no sirviera servicios, no son necesarias ps: espero que tu firewall no este conectado a internet, por el bien de tu red... Saludos -- Miguel
