[CentOS-es] Problemas con IPTables

2012-02-23 Por tema Yoinier Hernandez Nieves 
Hola lista, tengo un servidor con iptables, pero hoy fui a reiniciar el 
iptables para modificar unas reglas, pero se queda al descargar los 
modulos del kernel, de ahi no sigue.

Modifique segun lei en algunos foros el fichero 
/etc/sysconfig/iptables-config, la linea que viene en "yes" (unload 
kernel modules, algo asi si mal no recuerdo) pero entonces me freeza la 
consola en Aplicando las reglas del cortafuego.

Ese servidor esta a varias millas de mi, o sea, que no tengo acceso 
fisico a el, que puedo hacer para recuperar el iptables

tambien he intentado reinstalar el iptables, pero todo igual.

Un saludo.
-- 
Yoinier Hernández Nieves.
Administrador de Redes.
División ZETI
Nodo Provincial Datazucar Las Tunas.


___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Problemas con IPTABLES

2010-07-28 Por tema Jeiler Rego Romero 
Saludos,
Tengo un servidor con dos tarjetas de red, eth0  lan (192.168.0.1) y eht1  wan 
(192.168.13.22). Tengo  configurado un firewall con Iptables y la política por 
defecto es DROP, también tengo un Squid (192.168.0.1)que es  hijo de otro 
(192.168.44.27 (parent)). Con el Iptables detenido todo funciona, pero una vez 
que lo arranco no puedo navegar desde ninguna de las máquinas de la lan, al 
revisar las estadísticas me percato que el problema es desde mi servidor hacia  
el que recibo la cachue de squid. esta es la configuración de mi firewall.

# Generated by iptables-save v1.3.5 on Thu Jul  8 11:25:56 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Jul  8 11:25:56 2010
# Generated by iptables-save v1.3.5 on Thu Jul  8 11:25:56 2010
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j REDIRECT 
--to 3128
-A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.26 -o eth1 -j 
MASQUERADE
-A POSTROUTING -p tcp -m tcp -s 192.168.0.0/24 -d 192.168.44.28 -o eth1 -j 
MASQUERADE
COMMIT
# Completed on Thu Jul  8 11:25:56 2010
# Generated by iptables-save v1.3.5 on Thu Jul  8 11:25:56 2010
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A OUTPUT -d 192.168.0.0/24 -o eth0 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp -d 192.168.0.0/24 --sport 21 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.0.0/24 --dport 21 -j ACCEPT
-A OUTPUT -p udp -m udp -d 192.168.0.0/24 --sport 21 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 22 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.0.0/24 -i eth0 --dport 80 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.0.11 --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.0.11 --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 22 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.0.11 --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp -d 192.168.0.11 --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp -m state --sport 80 --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p udp -m udp -d 192.168.0.11 --sport 53 -j ACCEPT
COMMIT
# Completed on Thu Jul  8 11:25:56 2010___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Problemas con IPTables

2010-05-28 Por tema Xavier Mauricio Tirado 




Estimados, de mi criterio:

1. No veo q se trate de balanceo de carga, eso es arena de otro costal
2. lo q muestra es el script para general las reglas del fw, no veo
donde estan las if virtuales, y yo jamas he podido hacerlo
3. la diferencia a mi ver solo radica en como manejes tu red y el
tráfico que poseas,aunque si se puede añadir podría ser más conveniente
por la administración, adicional el sistema smtp debes configurarlo
para q funcione con esa interfaz ya q ambas estan en la misma red
4. El manejo de servicios externos se manejaría por nateo, no debe dar
temas de desconexión a menos que el ISP los tenga
5. Shorewall bien configurado y entendido es una excelente herramienta
para la generación del fw


firma_mae

Xavier
Mauricio Tirado L.

Unidad de Infraestructura
DIRECCION TECNOLOGICA
MINISTERIO DEL AMBIENTE
email: xtir...@ambiente.gov.ec
Telefax: (593 2) 2563487
www.ambiente.gov.ec








victor santana escribió:
Yo tengo 3 conexiones a internet balanceadas, te
recomiendo mires:
  http://www.shorewall.net/MultiISP.html
Al final instalé esta utilidad que me resulta mucho más amigable de
configurar que iptables.
  
  
  El 27 de mayo de 2010 00:13, Jaime Aguirre 
escribió:
  
Estimados:
Tengo un problema con iptables, les comento lo que deseo realizar,
tengo un firewall en iptables el cual ha estado funcionando
perfectamente con la ip asociada (200.10.10.1). ahora desean publicar
un servidor web y un server de correo el cual esta asociado a otra ip
(200.10.10.2)la consulta es la siguiente, es recomendado colocar en una
misma NIC las 2 Ip publicas una para salida de internet de mi lan y la
otra para salida de los server unicamente, es decir se tendria
interfaces virtual o es necesario colocar una NIC adidicional a mi
server? por otro lado realice la configuracion de mi iptables con
interfaces virtual. pero a veces la ip que esta en la interface virtual
pierde coneccion, es decir los servicios publicado no son vistos. Si
tuvieran alguna recomendacion o sugerencia seria muy bienvenida,
 
les
adjunto parate de la conf de mi script de iptables de la publicacion de
mis servicio, 
 


$IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m
state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT
--to-source $IP_WAN_MAIL
$IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p
tcp --dport 25 -j DNAT --to-destination $EXCHANGE:25
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp
--dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p
tcp --dport 443 -j DNAT --to-destination $EXCHANGE:443
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp
--dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT
 
 
la configuracion de mi script esta totalmente en DROP.
 
Saludos.
 
Jaime A.

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

  
  
  
  
  
-- 
  
___
 REPARACIONONLINE
GARANTIA PARA SU PC

  
  
  
  
  
  

  
NOTA DE DESCARGO: La información contenida en este e-mail es
confidencial y solo puede ser utilizada por su destinatario. El
Ministerio del Ambiente - Ecuador no asume responsabilidad sobre
informacion y opiniones o criterios contenidos en este e-mail. 
  
DISCLAIMER NOTICE: The information contained upon this e-mail is
intended to be confidential and it can only be used by the designated
recipient(s). Ministerio de Ambiente - Ecuador does not assume
responsability about information and opinion or criteria contained in
this e-mail.

  
  
  
_ 
MENSAJE AMBIENTAL: Si vas a imprimir el presente correo? Piensa bien si
es preciso hacerlo. Cuidemos el Ambiente que es responsabilidad de
todos! - Ministerio del Ambiente
  

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
  



	
	NOTA DE DESCARGO: La información contenida en este e-mail es confidencial y 
	solo puede ser utilizada por su destinatario. El Ministerio del Ambiente - 
	Ecuador no asume responsabilidad sobre informacion y opiniones o criterios 
	contenidos en este e-mail. 

	DISCLAIMER NOTICE: The information contained upon this e-mail is intended to 
	be confidential and it can only be used by the designated recipient(s).
	Ministerio de Ambiente - Ecuador does not assume responsability about information
	and opinion or criteria contained in th

Re: [CentOS-es] Problemas con IPTables

2010-05-27 Por tema victor santana 
Yo tengo 3 conexiones a internet balanceadas, te recomiendo mires:
http://www.shorewall.net/MultiISP.html
Al final instalé esta utilidad que me resulta mucho más amigable de
configurar que iptables.


El 27 de mayo de 2010 00:13, Jaime Aguirre escribió:

> Estimados:
> Tengo un problema con iptables, les comento lo que deseo realizar, tengo un
> firewall en iptables el cual ha estado funcionando perfectamente con la ip
> asociada (200.10.10.1). ahora desean publicar un servidor web y un server de
> correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la
> siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una
> para salida de internet de mi lan y la otra para salida de los server
> unicamente, es decir se tendria interfaces virtual o es necesario colocar
> una NIC adidicional a mi server? por otro lado realice la configuracion de
> mi iptables con interfaces virtual. pero a veces la ip que esta en la
> interface virtual pierde coneccion, es decir los servicios publicado no son
> vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida,
>
> les adjunto parate de la conf de mi script de iptables de la publicacion de
> mis servicio,
>
>
> $IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state
> --state ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT
> --to-source $IP_WAN_MAIL
> $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport
> 25 -j DNAT --to-destination $EXCHANGE:25
> $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport
> 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport
> 443 -j DNAT --to-destination $EXCHANGE:443
> $IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport
> 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT
>
>
> la configuracion de mi script esta totalmente en DROP.
>
> Saludos.
>
> Jaime A.
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>


-- 

___
 REPARACIONONLINE
GARANTIA PARA SU PC

___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Problemas con IPTables

2010-05-27 Por tema Jaime Aguirre 
Estimados:
Tengo un problema con iptables, les comento lo que deseo realizar, tengo un
firewall en iptables el cual ha estado funcionando perfectamente con la ip
asociada (200.10.10.1). ahora desean publicar un servidor web y un server de
correo el cual esta asociado a otra ip (200.10.10.2)la consulta es la
siguiente, es recomendado colocar en una misma NIC las 2 Ip publicas una
para salida de internet de mi lan y la otra para salida de los server
unicamente, es decir se tendria interfaces virtual o es necesario colocar
una NIC adidicional a mi server? por otro lado realice la configuracion de
mi iptables con interfaces virtual. pero a veces la ip que esta en la
interface virtual pierde coneccion, es decir los servicios publicado no son
vistos. Si tuvieran alguna recomendacion o sugerencia seria muy bienvenida,

les adjunto parate de la conf de mi script de iptables de la publicacion de
mis servicio,


$IPTABLES -A FORWARD -i $ITFZ_WAN -d $RANGO_IP_DMZ -o $ITFZ_DMZ -m state
--state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $EXCHANGE -o $ITFZ_WAN -j SNAT
--to-source $IP_WAN_MAIL
$IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport
25 -j DNAT --to-destination $EXCHANGE:25
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport
25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $ITFZ_WAN -d $IP_WAN_MAIL -p tcp --dport
443 -j DNAT --to-destination $EXCHANGE:443
$IPTABLES -A FORWARD -i $ITFZ_WAN -d $EXCHANGE -o $ITFZ_DMZ -p tcp --dport
443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -s $EXCHANGE -d 0/0 -p tcp -j ACCEPT


la configuracion de mi script esta totalmente en DROP.

Saludos.

Jaime A.
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es