[CentOS-es] Problemas con IPTables
Hola lista, tengo un servidor con iptables, pero hoy fui a reiniciar el iptables para modificar unas reglas, pero se queda al descargar los modulos del kernel, de ahi no sigue. Modifique segun lei en algunos foros el fichero /etc/sysconfig/iptables-config, la linea que viene en "yes" (unload kernel modules, algo asi si mal no recuerdo) pero entonces me freeza la consola en Aplicando las reglas del cortafuego. Ese servidor esta a varias millas de mi, o sea, que no tengo acceso fisico a el, que puedo hacer para recuperar el iptables tambien he intentado reinstalar el iptables, pero todo igual. Un saludo. -- Yoinier Hernández Nieves. Administrador de Redes. División ZETI Nodo Provincial Datazucar Las Tunas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Problemas con IPTABLES
Saludos, Tengo un servidor con dos tarjetas de red, eth0 lan (192.168.0.1) y eht1 wan (192.168.13.22). Tengo configurado un firewall con Iptables y la política por defecto es DROP, también tengo un Squid (192.168.0.1)que es hijo de otro (192.168.44.27 (parent)). Con el Iptables detenido todo funciona, pero una vez que lo arranco no puedo navegar desde ninguna de las máquinas de la lan, al revisar las estadísticas me percato que el problema es desde mi servidor hacia el que recibo la cachue de squid. esta es la configuración de mi firewall. # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Jul 8 11:25:56 2010 # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j REDIRECT --to 3128 -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.26 -o eth1 -j MASQUERADE -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.28 -o eth1 -j MASQUERADE COMMIT # Completed on Thu Jul 8 11:25:56 2010 # Generated by iptables-save v1.3.5 on Thu Jul 8 11:25:56 2010 *filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT -A OUTPUT -d 192.168.0.0/24 -o eth0 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.0/24 --sport 21 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 21 -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.0/24 --sport 21 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 22 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 22 -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -o eth0 -j ACCEPT -A FORWARD -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.11 --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 22 -j ACCEPT -A INPUT -p udp -m udp -s 192.168.0.11 --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp -m state --sport 80 --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 53 -j ACCEPT COMMIT # Completed on Thu Jul 8 11:25:56 2010___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Problemas con IPTables
Estimados, de mi criterio: 1. No veo q se trate de balanceo de carga, eso es arena de otro costal 2. lo q muestra es el script para general las reglas del fw, no veo donde estan las if virtuales, y yo jamas he podido hacerlo 3. la diferencia a mi ver solo radica en como manejes tu red y el tráfico que poseas,aunque si se puede añadir podría ser más conveniente por la administración, adicional el sistema smtp debes configurarlo para q funcione con esa interfaz ya q ambas estan en la misma red 4. El manejo de servicios externos se manejaría por nateo, no debe dar temas de desconexión a menos que el ISP los tenga 5. Shorewall bien configurado y entendido es una excelente herramienta para la generación del fw firma_mae Xavier Mauricio Tirado L. Unidad de Infraestructura DIRECCION TECNOLOGICA MINISTERIO DEL AMBIENTE email: xtir...@ambiente.gov.ec Telefax: (593 2) 2563487 www.ambiente.gov.ec victor santana escribió: Yo tengo 3 conexiones a internet balanceadas, te recomiendo mires: http://www.shorewall.net/MultiISP.html Al final instalé esta utilidad que me resulta mucho más amigable de configurar que iptables. El 27 de mayo de 2010 00:13, Jaime Aguirreescribió: Estimados: Tengo un problema con iptables, les comento lo que deseo realizar, tengo un firewall en iptables el cual ha estado funcionando perfectamente con la ip asociada (200.10.10.1). ahora desean publicar un servidor web y un server de correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una para salida de internet de mi lan y la otra para salida de los server unicamente, es decir se tendria interfaces virtual o es necesario colocar una NIC adidicional a mi server? por otro lado realice la configuracion de mi iptables con interfaces virtual. pero a veces la ip que esta en la interface virtual pierde coneccion, es decir los servicios publicado no son vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida, les adjunto parate de la conf de mi script de iptables de la publicacion de mis servicio, $IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT --to-source $IP_WAN_MAIL $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT la configuracion de mi script esta totalmente en DROP. Saludos. Jaime A. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC NOTA DE DESCARGO: La información contenida en este e-mail es confidencial y solo puede ser utilizada por su destinatario. El Ministerio del Ambiente - Ecuador no asume responsabilidad sobre informacion y opiniones o criterios contenidos en este e-mail. DISCLAIMER NOTICE: The information contained upon this e-mail is intended to be confidential and it can only be used by the designated recipient(s). Ministerio de Ambiente - Ecuador does not assume responsability about information and opinion or criteria contained in this e-mail. _ MENSAJE AMBIENTAL: Si vas a imprimir el presente correo? Piensa bien si es preciso hacerlo. Cuidemos el Ambiente que es responsabilidad de todos! - Ministerio del Ambiente ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es NOTA DE DESCARGO: La información contenida en este e-mail es confidencial y solo puede ser utilizada por su destinatario. El Ministerio del Ambiente - Ecuador no asume responsabilidad sobre informacion y opiniones o criterios contenidos en este e-mail. DISCLAIMER NOTICE: The information contained upon this e-mail is intended to be confidential and it can only be used by the designated recipient(s). Ministerio de Ambiente - Ecuador does not assume responsability about information and opinion or criteria contained in th
Re: [CentOS-es] Problemas con IPTables
Yo tengo 3 conexiones a internet balanceadas, te recomiendo mires: http://www.shorewall.net/MultiISP.html Al final instalé esta utilidad que me resulta mucho más amigable de configurar que iptables. El 27 de mayo de 2010 00:13, Jaime Aguirre escribió: > Estimados: > Tengo un problema con iptables, les comento lo que deseo realizar, tengo un > firewall en iptables el cual ha estado funcionando perfectamente con la ip > asociada (200.10.10.1). ahora desean publicar un servidor web y un server de > correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la > siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una > para salida de internet de mi lan y la otra para salida de los server > unicamente, es decir se tendria interfaces virtual o es necesario colocar > una NIC adidicional a mi server? por otro lado realice la configuracion de > mi iptables con interfaces virtual. pero a veces la ip que esta en la > interface virtual pierde coneccion, es decir los servicios publicado no son > vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida, > > les adjunto parate de la conf de mi script de iptables de la publicacion de > mis servicio, > > > $IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state > --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT > --to-source $IP_WAN_MAIL > $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport > 25 -j DNAT --to-destination $EXCHANGE:25 > $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport > 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport > 443 -j DNAT --to-destination $EXCHANGE:443 > $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport > 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT > > > la configuracion de mi script esta totalmente en DROP. > > Saludos. > > Jaime A. > > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > > -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Problemas con IPTables
Estimados: Tengo un problema con iptables, les comento lo que deseo realizar, tengo un firewall en iptables el cual ha estado funcionando perfectamente con la ip asociada (200.10.10.1). ahora desean publicar un servidor web y un server de correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una para salida de internet de mi lan y la otra para salida de los server unicamente, es decir se tendria interfaces virtual o es necesario colocar una NIC adidicional a mi server? por otro lado realice la configuracion de mi iptables con interfaces virtual. pero a veces la ip que esta en la interface virtual pierde coneccion, es decir los servicios publicado no son vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida, les adjunto parate de la conf de mi script de iptables de la publicacion de mis servicio, $IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT --to-source $IP_WAN_MAIL $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443 $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT la configuracion de mi script esta totalmente en DROP. Saludos. Jaime A. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es