2009/9/15 Miguel Angel Amador L <[email protected]>: > 2009/9/15 Juan Andres Ramirez <[email protected]>: >> 2009/9/14 Sebastián Veloso Varas <[email protected]>: >>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < >>> [email protected]> escribió: >>> >>>> Estimados : >>>> Tengo un firewall controlando la lan con iptables. Resulta que >>>> tengo la politica de drop, habriendo los puertos que necesito, y esto >>>> lo tengo funcionando hace unas semanas con unos poco usuarios, y >>>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >>>> donde también estan los usuarios con la puerta 2, que seria la del >>>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >>>> problema que tengo es el acceso entre computadores desde la 100 a la >>>> subred 101. >>>> >>>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >>>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >>>> un computador en la subred 101 desde la red 100 no puedo. >>>> >>> >>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) >> >> Tengo mis dudas aca, porque tengo en drop la politicas: >> >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -P FORWARD DROP >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -t nat -P PREROUTING ACCEPT >> iptables -t nat -P POSTROUTING ACCEPT >> >> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y >> OUTPUT, puedo ver la subred 101 desde la red 100. >> >> Mas abajo pego las reglas completas. >> >>> >>> >>>> >>>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >>>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >>>> algun puerto cerrado y no se cual es. >>>> >>> >>> DROP por defecto y si quieres ver redes compartidas, usas los puertos >>> 137,138 UDP y 139,445 TCP. >>> >>>> >>>> Adjunto archivo txt con las reglas, por si alguien se interesa en >>>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >>>> quiero, solo me falta ese pequeño detalle. >>>> >>>> >>> El adjunto no llego a la lista....trata de hacer copy paste si es posible. >> >> ## FLUSH de reglas >> iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> ## Establecemos politica por defecto >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -P FORWARD DROP >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -t nat -P PREROUTING ACCEPT >> iptables -t nat -P POSTROUTING ACCEPT >> >> #ACCESO AL LOCALHOST >> iptables -A INPUT -i lo -j ACCEPT >> iptables -A OUTPUT -o lo -j ACCEPT >> >> #COMUNICACION DNS AL LOCALHOST >> iptables -A INPUT -p udp --dport 53 -j ACCEPT >> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >> >> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL >> iptables -A INPUT -i eth1 -j ACCEPT >> >> #CONSULTAS DNS >> iptables -A FORWARD -p udp --dport 53 -j ACCEPT >> >> # ACCESO SSH DE MI IP >> iptables -A INPUT -s 192.168.100.253 -j ACCEPT >> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT >> >> #ACCESO A WEB >> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT >> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT >> # Permitimos que la maquina pueda salir a la web >> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT >> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> # Ya tambien a webs seguras >> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT >> >> #ACCESO A MAIL >> iptables -A FORWARD -p tcp --dport 25 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 110 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 143 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT >> >> #ACCESO A SNMP >> iptables -A FORWARD -p udp --dport 169 -j ACCEPT >> >> #ACCESO A FTP >> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT >> >> #ACCESO A TELNET >> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT >> >> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS >> iptables -A FORWARD -p udp --dport 137 -j ACCEPT >> iptables -A FORWARD -p udp --dport 138 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT >> iptables -A FORWARD -p udp --dport 135 -j ACCEPT >> >> #DEJAMOS PASAR LOS PING >> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT >> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT >> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT >> >> #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) >> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s >> 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 >> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s >> 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 >> >> # Con esto permitimos hacer forward de paquetes en el firewall, osea >> # que otras maquinas puedan salir a traves del firewall. >> echo 1 > /proc/sys/net/ipv4/ip_forward >> >> >> >>> >>> >>>> >>>> Muchas gracias. >>>> >>> >>> >>> >>> Saludos, Sebastian >>> >> >> > > mm consulta sobre tu script: > 1- cuales son las tarjetas de red que manejas y hacia adonde miran? > (en que tarjeta estan las dos redes que nombras, etc)
Son 2 tarjetas eth1 es por donde se conecta la LAN, eth2 es la se usa de salida hacia el otro firewall. Las 2 tarjetas estan en la red 100, ya que la subred 101 es una virtual que esta en la red 100. > 2- El firewall sirve algun protocolo web, dns, correo , aparte de > funcionar de firewall ? pq tienes reglas input que si no sirviera > servicios, no son necesarias > Sólo firewall mas squid. > ps: espero que tu firewall no este conectado a internet, por el bien > de tu red... No , el firewall esta entre la red y otro firewall cisco. > > Saludos > -- > Miguel > >
