2009/9/15 Juan Andres Ramirez <[email protected]>: > 2009/9/15 Miguel Angel Amador L <[email protected]>: >> 2009/9/15 Juan Andres Ramirez <[email protected]>: >>> 2009/9/14 Sebastián Veloso Varas <[email protected]>: >>>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < >>>> [email protected]> escribió: >>>> >>>>> Estimados : >>>>> Tengo un firewall controlando la lan con iptables. Resulta que >>>>> tengo la politica de drop, habriendo los puertos que necesito, y esto >>>>> lo tengo funcionando hace unas semanas con unos poco usuarios, y >>>>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >>>>> donde también estan los usuarios con la puerta 2, que seria la del >>>>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >>>>> problema que tengo es el acceso entre computadores desde la 100 a la >>>>> subred 101. >>>>> >>>>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >>>>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >>>>> un computador en la subred 101 desde la red 100 no puedo. >>>>> >>>> >>>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) >>> >>> Tengo mis dudas aca, porque tengo en drop la politicas: >>> >>> iptables -P INPUT DROP >>> iptables -P OUTPUT DROP >>> iptables -P FORWARD DROP >>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> iptables -t nat -P PREROUTING ACCEPT >>> iptables -t nat -P POSTROUTING ACCEPT >>> >>> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y >>> OUTPUT, puedo ver la subred 101 desde la red 100. >>> >>> Mas abajo pego las reglas completas. >>> >>>> >>>> >>>>> >>>>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >>>>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >>>>> algun puerto cerrado y no se cual es. >>>>> >>>> >>>> DROP por defecto y si quieres ver redes compartidas, usas los puertos >>>> 137,138 UDP y 139,445 TCP. >>>> >>>>> >>>>> Adjunto archivo txt con las reglas, por si alguien se interesa en >>>>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >>>>> quiero, solo me falta ese pequeño detalle. >>>>> >>>>> >>>> El adjunto no llego a la lista....trata de hacer copy paste si es posible. >>> >>> ## FLUSH de reglas >>> iptables -F >>> iptables -X >>> iptables -Z >>> iptables -t nat -F >>> >>> ## Establecemos politica por defecto >>> iptables -P INPUT DROP >>> iptables -P OUTPUT DROP >>> iptables -P FORWARD DROP >>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> iptables -t nat -P PREROUTING ACCEPT >>> iptables -t nat -P POSTROUTING ACCEPT >>> >>> #ACCESO AL LOCALHOST >>> iptables -A INPUT -i lo -j ACCEPT >>> iptables -A OUTPUT -o lo -j ACCEPT >>> >>> #COMUNICACION DNS AL LOCALHOST >>> iptables -A INPUT -p udp --dport 53 -j ACCEPT >>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >>> >>> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL >>> iptables -A INPUT -i eth1 -j ACCEPT >>> >>> #CONSULTAS DNS >>> iptables -A FORWARD -p udp --dport 53 -j ACCEPT >>> >>> # ACCESO SSH DE MI IP >>> iptables -A INPUT -s 192.168.100.253 -j ACCEPT >>> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT >>> >>> #ACCESO A WEB >>> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT >>> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT >>> # Permitimos que la maquina pueda salir a la web >>> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state >>> RELATED,ESTABLISHED -j ACCEPT >>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT >>> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT >>> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state >>> RELATED,ESTABLISHED -j ACCEPT >>> # Ya tambien a webs seguras >>> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state >>> RELATED,ESTABLISHED -j ACCEPT >>> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT >>> >>> #ACCESO A MAIL >>> iptables -A FORWARD -p tcp --dport 25 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 110 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 143 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT >>> >>> #ACCESO A SNMP >>> iptables -A FORWARD -p udp --dport 169 -j ACCEPT >>> >>> #ACCESO A FTP >>> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT >>> >>> #ACCESO A TELNET >>> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT >>> >>> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS >>> iptables -A FORWARD -p udp --dport 137 -j ACCEPT >>> iptables -A FORWARD -p udp --dport 138 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT >>> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT >>> iptables -A FORWARD -p udp --dport 135 -j ACCEPT >>> >>> #DEJAMOS PASAR LOS PING >>> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT >>> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT >>> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT >>> >>> #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) >>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s >>> 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 >>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s >>> 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 >>> >>> # Con esto permitimos hacer forward de paquetes en el firewall, osea >>> # que otras maquinas puedan salir a traves del firewall. >>> echo 1 > /proc/sys/net/ipv4/ip_forward >>> >>> >>> >>>> >>>> >>>>> >>>>> Muchas gracias. >>>>> >>>> >>>> >>>> >>>> Saludos, Sebastian >>>> >>> >>> >> >> mm consulta sobre tu script: >> 1- cuales son las tarjetas de red que manejas y hacia adonde miran? >> (en que tarjeta estan las dos redes que nombras, etc) > > Son 2 tarjetas eth1 es por donde se conecta la LAN, eth2 es la se usa > de salida hacia el otro firewall. > Las 2 tarjetas estan en la red 100, ya que la subred 101 es una > virtual que esta en la red 100. > >> 2- El firewall sirve algun protocolo web, dns, correo , aparte de >> funcionar de firewall ? pq tienes reglas input que si no sirviera >> servicios, no son necesarias >> > > Sólo firewall mas squid. > >> ps: espero que tu firewall no este conectado a internet, por el bien >> de tu red... > > No , el firewall esta entre la red y otro firewall cisco. > >>
Traza a la dirección [192.168.101.13] sobre un máximo de 30 saltos: 1 <1 ms <1 ms <1 ms 192.168.100.1 2 * * * Tiempo de espera agotado para esta solicitud. Este es el problema, al pasar desde la red 100 a la subred 101, pasa por la puerta de la red 100 que es la 100.1, y este es el firewall Cisco. Apliqué una regla para dejar pasar a la puerta 1 por el firewall interno: iptables -A FORWARD -s 192.168.100.1 -j ACCEPT Pero no pasa nada, si dejo la regla en : iptables -A FORWARD -j ACCEPT, si funciona, pero no tendria gracia porque estaria dejando pasar todo. >> Saludos >> -- >> Miguel >> >> >
