Re: iptables DROP
Iptables -I INPUT -s IP -j RETURN Saludos Cordiales Domingo Varela Y. From: Roberto José Blandino Cisneros Sent: Tuesday, October 15, 2019 2:43:36 PM To: Debian ayuda Subject: Re: iptables DROP Cuando agregas una ip si existe una sesión no se aplicará la regla hasta que el ip intente acceder nuevamente, esto da la sensación que iptables no hace su trabajo. Para ello basta cortar la sesión reiniciando el servicio al que esta accediendo y luego ya el ip no podrá acceder al servicio al que intenta acceder. On Thu, Oct 10, 2019 at 11:26 AM miguel angel gonzalez wrote: > > Sí, eso es, se van incrementando. He reiniciado apache para comprobar si > esta conexión era persistente y se liberaba. > > El jue., 10 oct. 2019 a las 16:44, Ramses () > escribió: >> >> El 10 de octubre de 2019 16:14:19 CEST, miguel angel gonzalez >> escribió: >> >Hola, >> >tengo un problema con iptables, >> >me está entrando tráfico que no es deseable desde una ip y >> >por más que filtro no hay manera, ¿alguna idea? >> > >> >iptables -A INPUT -s IP_a_bloquear -j DROP >> > >> >Reviso la regla y está guardada. >> > >> >Muchas gracias. >> >> Pero, ¿está guardada la primera? >> >> Si haces un "iptables -nvL" los contadores se van incrementando en esa >> regla...? >> >> >> Saludos >> > > > -- > /m.a. --
Re: iptables DROP
- Original Message - From: "Roberto José Blandino Cisneros" To: "Debian ayuda" Sent: Tuesday, October 15, 2019 4:43:36 PM Subject: Re: iptables DROP Cuando agregas una ip si existe una sesión no se aplicará la regla hasta que el ip intente acceder nuevamente, esto da la sensación que iptables no hace su trabajo. Para ello basta cortar la sesión reiniciando el servicio al que esta accediendo y luego ya el ip no podrá acceder al servicio al que intenta acceder. On Thu, Oct 10, 2019 at 11:26 AM miguel angel gonzalez wrote: > > Sí, eso es, se van incrementando. He reiniciado apache para comprobar si > esta conexión era persistente y se liberaba. > > El jue., 10 oct. 2019 a las 16:44, Ramses () > escribió: >> >> El 10 de octubre de 2019 16:14:19 CEST, miguel angel gonzalez >> escribió: >> >Hola, >> >tengo un problema con iptables, >> >me está entrando tráfico que no es deseable desde una ip y >> >por más que filtro no hay manera, ¿alguna idea? >> > >> >iptables -A INPUT -s IP_a_bloquear -j DROP >> > >> >Reviso la regla y está guardada. >> > >> >Muchas gracias. >> >> Pero, ¿está guardada la primera? >> >> Si haces un "iptables -nvL" los contadores se van incrementando en esa >> regla...? >> >> >> Saludos >> > > > -- > /m.a. Buenas BAD top posting y tambien mal la info...o depende pero si agarras y tenes una conexion ya existente y la bloqueas con iptables ... se muere.. la unica forma que quede viva es que exista un ACCEPT antes que la regla que pusiste para dropar...O que la regla que pusiste para dropear le hayas agregado NEW state.. espero que se entienda.. Matias.- --
Re: iptables DROP
Cuando agregas una ip si existe una sesión no se aplicará la regla hasta que el ip intente acceder nuevamente, esto da la sensación que iptables no hace su trabajo. Para ello basta cortar la sesión reiniciando el servicio al que esta accediendo y luego ya el ip no podrá acceder al servicio al que intenta acceder. On Thu, Oct 10, 2019 at 11:26 AM miguel angel gonzalez wrote: > > Sí, eso es, se van incrementando. He reiniciado apache para comprobar si > esta conexión era persistente y se liberaba. > > El jue., 10 oct. 2019 a las 16:44, Ramses () > escribió: >> >> El 10 de octubre de 2019 16:14:19 CEST, miguel angel gonzalez >> escribió: >> >Hola, >> >tengo un problema con iptables, >> >me está entrando tráfico que no es deseable desde una ip y >> >por más que filtro no hay manera, ¿alguna idea? >> > >> >iptables -A INPUT -s IP_a_bloquear -j DROP >> > >> >Reviso la regla y está guardada. >> > >> >Muchas gracias. >> >> Pero, ¿está guardada la primera? >> >> Si haces un "iptables -nvL" los contadores se van incrementando en esa >> regla...? >> >> >> Saludos >> > > > -- > /m.a. --
Re: iptables DROP
Sí, eso es, se van incrementando. He reiniciado apache para comprobar si esta conexión era persistente y se liberaba. El jue., 10 oct. 2019 a las 16:44, Ramses () escribió: > El 10 de octubre de 2019 16:14:19 CEST, miguel angel gonzalez < > mangelgonza...@gmail.com> escribió: > >Hola, > >tengo un problema con iptables, > >me está entrando tráfico que no es deseable desde una ip y > >por más que filtro no hay manera, ¿alguna idea? > > > >iptables -A INPUT -s IP_a_bloquear -j DROP > > > >Reviso la regla y está guardada. > > > >Muchas gracias. > > Pero, ¿está guardada la primera? > > Si haces un "iptables -nvL" los contadores se van incrementando en esa > regla...? > > > Saludos > > -- /m.a.
Re: iptables DROP
El 10 de octubre de 2019 16:14:19 CEST, miguel angel gonzalez escribió: >Hola, >tengo un problema con iptables, >me está entrando tráfico que no es deseable desde una ip y >por más que filtro no hay manera, ¿alguna idea? > >iptables -A INPUT -s IP_a_bloquear -j DROP > >Reviso la regla y está guardada. > >Muchas gracias. Pero, ¿está guardada la primera? Si haces un "iptables -nvL" los contadores se van incrementando en esa regla...? Saludos
Re: iptables DROP
Tienes el log del iptables habilitado? Igual podrías sacar info de ahí... Slds, El jue., 10 oct. 2019 a las 16:14, miguel angel gonzalez (< mangelgonza...@gmail.com>) escribió: > Hola, > tengo un problema con iptables, > me está entrando tráfico que no es deseable desde una ip y > por más que filtro no hay manera, ¿alguna idea? > > iptables -A INPUT -s IP_a_bloquear -j DROP > > Reviso la regla y está guardada. > > Muchas gracias. > -- > /m.a. >
iptables DROP
Hola, tengo un problema con iptables, me está entrando tráfico que no es deseable desde una ip y por más que filtro no hay manera, ¿alguna idea? iptables -A INPUT -s IP_a_bloquear -j DROP Reviso la regla y está guardada. Muchas gracias. -- /m.a.
Consulta sobre squid+dansguardian+iptables
Saludos amigos. hoy traigo otra duda que me gustaria me ayudaran a resolver. resulta que tengo instalado squid+dansguardian+iptables siguiendo un tutorial me dicen que hay que aplicarle una regla nat al iptables para que permita al dansguardian trabajar. esta es la regla: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8080 el squid esta trabajando en la interface eth0 con ip 10.10.10.1 y funciona bien. Ahora, una vez que aplico la regla del iptables, el squid no deja de pedir la autenticacion, si la cancelo, entonces no me deja navegar. Me recomiendan que ponga el dansguardian como hijo de squid o que aplique en el dansguardian el plugins, para la autenticación que uso. He buscado en internet, leido manuales y no encuentro respuesta. pudieran ayudarme?? desde ya muchas gracias
Re: iptables
entendido y eso fue lo que hice gracias a todos - Mensaje original - De: Matias Mucciolo Para: debian-user-spanish@lists.debian.org CC: Wilfredo Martínez Consuegra (CO6WIL) Enviado: Fri, 28 Dec 2018 11:08:32 -0500 (EST) Asunto: Re: iptables On Friday, December 28, 2018 9:51:37 AM -03 Wilfredo Martínez Consuegra (CO6WIL) wrote: > saludosquiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes.se hacerlo para un solo rango, pero lo necesito para varios > rangos sin tener que duplicar o poner N veces la misma linea con el rango > de ip diferente.Hay alguna via de poner todos los rangos en un fichero y > poder invocarlos desde iptables con una sola linea?saludoswhilo Este > mensaje le ha llegado mediante el servicio de correo electronico que ofrece > la Federacion de Radioaficionados de Cuba. La persona que envia este correo > asume el compromiso de usar el servicio y cumplir con las regulaciones > establecidas. FRCUBA: https://www.frcuba.cu/ Buenas Para muchos rangos es recomendado usar ipset..es una extensión de iptables. si queres bloquear todo menos tu pais lo mas facil seria lo inverso aceptar todos los rangos de tu pais y bloquear todo el resto con una sola linea. no se si se entiende.. saludos Matias.- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este correo asume el compromiso de usar el servicio y cumplir con las regulaciones establecidas. FRCUBA: https://www.frcuba.cu/
Re: iptables
On Friday, December 28, 2018 9:51:37 AM -03 Wilfredo Martínez Consuegra (CO6WIL) wrote: > saludosquiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes.se hacerlo para un solo rango, pero lo necesito para varios > rangos sin tener que duplicar o poner N veces la misma linea con el rango > de ip diferente.Hay alguna via de poner todos los rangos en un fichero y > poder invocarlos desde iptables con una sola linea?saludoswhilo Este > mensaje le ha llegado mediante el servicio de correo electronico que ofrece > la Federacion de Radioaficionados de Cuba. La persona que envia este correo > asume el compromiso de usar el servicio y cumplir con las regulaciones > establecidas. FRCUBA: https://www.frcuba.cu/ Buenas Para muchos rangos es recomendado usar ipset..es una extensión de iptables. si queres bloquear todo menos tu pais lo mas facil seria lo inverso aceptar todos los rangos de tu pais y bloquear todo el resto con una sola linea. no se si se entiende.. saludos Matias.-
Re: iptables
Gracias esto es justo lo que buscabaWhilo - Mensaje original - De: Paynalton Para: Javier ArgentinaBBAR CC: DUS Enviado: Fri, 28 Dec 2018 10:53:16 -0500 (EST) Asunto: Re: iptables Si un ave no rompe su huevo morirá antes de nacer. Nosotros somos el ave y el mundo es nuestro huevo. POR LA REVOLUCIÓN DEL MUNDO Ciudad de México El vie., 28 dic. 2018 a las 9:43, Javier ArgentinaBBAR () escribió: El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra (CO6WIL) () escribió: > > saludos > quiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes. > se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener > que duplicar o poner N veces la misma linea con el rango de ip diferente. > Hay alguna via de poner todos los rangos en un fichero y poder invocarlos > desde iptables con una sola linea? > saludos > whilo > > Este mensaje le ha llegado mediante el servicio de correo electrónico que > ofrece la Federación de Radioaficionados de Cuba. La persona que envía este > correo asume el compromiso de usar el servicio y cumplir con las regulaciones > establecidas. FRCUBA: https://www.frcuba.cu/ > No, no se puede. Sí se puede: https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/ aunque como dice Javier, no hay mucho sentido en hacerlo así pues terminas con una sentencia enorme y difícil de leer/mantener es mejor manejar cada rango en una línea separada, así puedes comentar o descomentar un rango fácilmente sin tener que modificar a los demás rngos. Te permite bloquear un rango por línea, no acepta múltiples rango. Lo cual hacerlo, es un despropósito. Si tenés distinto nivel de usuarios, asignales un rango de IP a los que quieras bloquear. Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo. Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con -m iprange --src-range 10.10.2.1-10.10.2.255 JAP Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este correo asume el compromiso de usar el servicio y cumplir con las regulaciones establecidas. FRCUBA: https://www.frcuba.cu/
Re: iptables
Si un ave no rompe su huevo morirá antes de nacer. Nosotros somos el ave y el mundo es nuestro huevo. POR LA REVOLUCIÓN DEL MUNDO Ciudad de México El vie., 28 dic. 2018 a las 9:43, Javier ArgentinaBBAR (< javier.debian.bb...@gmail.com>) escribió: > El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra > (CO6WIL) () escribió: > > > > saludos > > quiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes. > > se hacerlo para un solo rango, pero lo necesito para varios rangos sin > tener que duplicar o poner N veces la misma linea con el rango de ip > diferente. > > Hay alguna via de poner todos los rangos en un fichero y poder > invocarlos desde iptables con una sola linea? > > saludos > > whilo > > > > Este mensaje le ha llegado mediante el servicio de correo electrónico > que ofrece la Federación de Radioaficionados de Cuba. La persona que envía > este correo asume el compromiso de usar el servicio y cumplir con las > regulaciones establecidas. FRCUBA: https://www.frcuba.cu/ > > > > No, no se puede. > Sí se puede: https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/ aunque como dice Javier, no hay mucho sentido en hacerlo así pues terminas con una sentencia enorme y difícil de leer/mantener es mejor manejar cada rango en una línea separada, así puedes comentar o descomentar un rango fácilmente sin tener que modificar a los demás rngos. > Te permite bloquear un rango por línea, no acepta múltiples rango. > Lo cual hacerlo, es un despropósito. > Si tenés distinto nivel de usuarios, asignales un rango de IP a los > que quieras bloquear. > Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo. > Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables > bloqueas con > > -m iprange --src-range 10.10.2.1-10.10.2.255 > > JAP > >
Re: iptables
gracias javier, aclaras mi duda. lo que intento es que un puerto determinado solo este disponible para mi pais y no para el mundo, pero la solucion fue la de poner N lineas pues mi pais tiene varios rangos de ips. de cualquier modo, te agadezco feliz navidad desde Cuba Whilo - Mensaje original - De: Javier ArgentinaBBAR Para: DUS Enviado: Fri, 28 Dec 2018 10:43:14 -0500 (EST) Asunto: Re: iptables El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra (CO6WIL) () escribió: > > saludos > quiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes. > se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener > que duplicar o poner N veces la misma linea con el rango de ip diferente. > Hay alguna via de poner todos los rangos en un fichero y poder invocarlos > desde iptables con una sola linea? > saludos > whilo > > Este mensaje le ha llegado mediante el servicio de correo electrónico que > ofrece la Federación de Radioaficionados de Cuba. La persona que envía este > correo asume el compromiso de usar el servicio y cumplir con las regulaciones > establecidas. FRCUBA: https://www.frcuba.cu/ > No, no se puede. Te permite bloquear un rango por línea, no acepta múltiples rango. Lo cual hacerlo, es un despropósito. Si tenés distinto nivel de usuarios, asignales un rango de IP a los que quieras bloquear. Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo. Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con -m iprange --src-range 10.10.2.1-10.10.2.255 JAP Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este correo asume el compromiso de usar el servicio y cumplir con las regulaciones establecidas. FRCUBA: https://www.frcuba.cu/
Re: iptables
El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra (CO6WIL) () escribió: > > saludos > quiero restringir con iptables el puerto 25 para varios rangos de ips > diferentes. > se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener > que duplicar o poner N veces la misma linea con el rango de ip diferente. > Hay alguna via de poner todos los rangos en un fichero y poder invocarlos > desde iptables con una sola linea? > saludos > whilo > > Este mensaje le ha llegado mediante el servicio de correo electrónico que > ofrece la Federación de Radioaficionados de Cuba. La persona que envía este > correo asume el compromiso de usar el servicio y cumplir con las regulaciones > establecidas. FRCUBA: https://www.frcuba.cu/ > No, no se puede. Te permite bloquear un rango por línea, no acepta múltiples rango. Lo cual hacerlo, es un despropósito. Si tenés distinto nivel de usuarios, asignales un rango de IP a los que quieras bloquear. Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo. Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con -m iprange --src-range 10.10.2.1-10.10.2.255 JAP
iptables
saludosquiero restringir con iptables el puerto 25 para varios rangos de ips diferentes.se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener que duplicar o poner N veces la misma linea con el rango de ip diferente.Hay alguna via de poner todos los rangos en un fichero y poder invocarlos desde iptables con una sola linea?saludoswhilo Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este correo asume el compromiso de usar el servicio y cumplir con las regulaciones establecidas. FRCUBA: https://www.frcuba.cu/
Re: una consulta sobre iptables y el puerto 80
On Tuesday, November 27, 2018 4:30:32 PM -03 Matias Mucciolo wrote: > On Tuesday, November 27, 2018 1:25:36 PM -03 Armando Victor Corona Ramos > > wrote: > > saludos colegas, resulta que tengo un server en debian 9 el cual está > > funcionando como webserver, estoy tratando de configurarle iptables para > > mejorar la seguridad del mismo. > > > > tengo dos tarjetas: > > 10.10.10.10 para la LAN y > > 12.23.32.25 (hipotético) para mi enlace externo > > > > deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo > > para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en > > mi > > red interna. > > > > podría hacer algo como esto: > > > > iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT > > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > > > > muchas gracias por su paciencia > > hola Armando > > vas a tener que poner algo como : > > iptables -A INTERFACE-INET -p tcp --dport 80 -j REJECT > > con esa linea bloqueas todo el trafico que entra en la interface > "INTERFACE-INET" (la que tiene ip 12.23.32.25) al puerto 80 > > ojo si tenes mas reglas genericas que acepten en el puerto 80. > El orden de las reglas tambien importan obviamente. > > saludos > Matias. corrijo la linea escribi de memoria sin doble chequear..la correcta es: iptables -A INPUT -i INTERFACE-INET -p tcp --dport 80 -j REJECT obviamente que tenes que cambiar "INTERFACE-INET" por el nombre de la interface ya sea eth0 o cual tenga esa ip de internet. saludos
Re: una consulta sobre iptables y el puerto 80
On Tuesday, November 27, 2018 1:25:36 PM -03 Armando Victor Corona Ramos wrote: > saludos colegas, resulta que tengo un server en debian 9 el cual está > funcionando como webserver, estoy tratando de configurarle iptables para > mejorar la seguridad del mismo. > > tengo dos tarjetas: > 10.10.10.10 para la LAN y > 12.23.32.25 (hipotético) para mi enlace externo > > deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo > para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi > red interna. > > podría hacer algo como esto: > > iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > > muchas gracias por su paciencia hola Armando vas a tener que poner algo como : iptables -A INTERFACE-INET -p tcp --dport 80 -j REJECT con esa linea bloqueas todo el trafico que entra en la interface "INTERFACE-INET" (la que tiene ip 12.23.32.25) al puerto 80 ojo si tenes mas reglas genericas que acepten en el puerto 80. El orden de las reglas tambien importan obviamente. saludos Matias.
Re: una consulta sobre iptables y el puerto 80
Hola, Has probado usando la dirección mac? Saludos El mar., 27 de noviembre de 2018 7:17 p. m., Armando Victor Corona Ramos < arvicor...@gmail.com> escribió: > saludos colegas, resulta que tengo un server en debian 9 el cual está > funcionando como webserver, estoy tratando de configurarle iptables para > mejorar la seguridad del mismo. > > tengo dos tarjetas: > 10.10.10.10 para la LAN y > 12.23.32.25 (hipotético) para mi enlace externo > > deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo > para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi > red interna. > > podría hacer algo como esto: > > iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > > muchas gracias por su paciencia > > >
una consulta sobre iptables y el puerto 80
saludos colegas, resulta que tengo un server en debian 9 el cual está funcionando como webserver, estoy tratando de configurarle iptables para mejorar la seguridad del mismo. tengo dos tarjetas: 10.10.10.10 para la LAN y 12.23.32.25 (hipotético) para mi enlace externo deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi red interna. podría hacer algo como esto: iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT muchas gracias por su paciencia
Re: [OT] VPN ikec - postrouting iptables
On Tuesday, October 16, 2018 5:07:21 PM -03 Debian Forever wrote: > He lanzado un tcpdump en el servidor desde donde lanzo la VPN en tap0 > y no veo nada ... cuando lanzo el traceroute, telnet, ping... desde mi > máquina linux, no mete tráfico... > > tcpdump -i tap0 > > Sin embargo, si hago el tcpdump en la interfaz de red eth0 > 192.168.1.34, al hacer traceroute, telnet, ping desde mi máquina, sí > que veo que mete tráfico... es decir, el enrutado está bien, el > tráfico lo dirige bien pero no lo mete por tap0... > > 192.168.0.100 (uno de los servidores dentro de la VPN) > > tcpdump -i eth0 host 192.168.0.100 > > 17:03:40.318708 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id > 14754, seq 1, length 64 > 17:03:40.323021 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id > 14754, seq 1, length 64 > 17:03:41.337833 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id > 14754, seq 2, length 64 > 17:03:41.341602 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id > 14754, seq 2, length 64 > hola devuelta..contesta abajo no hagas top-posting... definitivamente no esta volviendo por la vpn...el "Masquerade" como te comente antes no hace falta...no deberias usarlo. y hacerla de los tcpdump para analizar mas la cosas deberias poner el ejemplo de cada prueba que estas haciendo y el resultado del tcpdump..y no te olvides de las rutas.. analizando ese tcpdump que pusiste mucho no me dice ya que no se de donde sali y a dodne iba el ping como que la .0.34(?) mando un ping a la .0.100 ?? estan en la misma red...obviamente eso no va a pasar por la vpn.. saludos. Matias
Re: [OT] VPN ikec - postrouting iptables
He lanzado un tcpdump en el servidor desde donde lanzo la VPN en tap0 y no veo nada ... cuando lanzo el traceroute, telnet, ping... desde mi máquina linux, no mete tráfico... tcpdump -i tap0 Sin embargo, si hago el tcpdump en la interfaz de red eth0 192.168.1.34, al hacer traceroute, telnet, ping desde mi máquina, sí que veo que mete tráfico... es decir, el enrutado está bien, el tráfico lo dirige bien pero no lo mete por tap0... 192.168.0.100 (uno de los servidores dentro de la VPN) tcpdump -i eth0 host 192.168.0.100 17:03:40.318708 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id 14754, seq 1, length 64 17:03:40.323021 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id 14754, seq 1, length 64 17:03:41.337833 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id 14754, seq 2, length 64 17:03:41.341602 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id 14754, seq 2, length 64 On Tue, Oct 16, 2018 at 4:48 PM Debian Forever wrote: > > Buenas Matías, antes de nada gracias por contestar. Lo primero me > corrijo, puesto que la regla postrouting estaba mal puesta: > > MAL: > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE > > BIEN: > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tap0 -j MASQUERADE > > Aún así no funciona... He lanzado tcpdump en la máquina linux que > actúa de servidor, como cliente de la VPN, y lo que veo es que en > cuanto lanzo un pingo desde mi máquina cliente hacia una ip del rango > de las máquinas de la VPN 192.168.0.0/24, enruta bien y comienzo a ver > "echo request ICMP" pero no veo "echo reply" ... > > No sé donde puede estar el problema, con otras conexiones VPN como > openvpn, vpnc no he tenido problema... > > On Tue, Oct 16, 2018 at 2:10 PM Matias Mucciolo > wrote: > > > > On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote: > > > On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote: > > > > Buenas, recientemente he montado un servidor bajo debian el cual lo > > > > quiero para montar una VPN usando el software ikec. > > > > > > > > Lo tengo todo montado, conecta sin problemas y llego a los hosts > > > > internos a través de la conexión VPN tap0 sin problemas. > > > > > > > > # ifconfig > > > > > > > > tap0 Link encap:Ethernet direcciónHW aa:7f:94:15:7d:cc > > > > > > > > Direc. inet:192.168.0.230 Difus.:192.168.0.230 > > > > > > > > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 > > > > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MTU:1380 Métrica:1 > > > > > > > > Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 > > > > Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 > > > > colisiones:0 long.colaTX:1000 > > > > Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) > > > > > > > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24 > > > > > > > > Mi máquina linux debian desktop tiene la 192.168.1.34 > > > > > > > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts > > > > internos desde otra máquina linux, por ejemplo la mia desktop. Para > > > > ello de forma rápida, me he puesto la ruta necesaria: > > > > > > > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33 > > > > > > > > Y el tráfico, ya se enruta correctamente. > > > > > > > > Faltaría activar ip forward en el servidor: > > > > > > > > # sysctl -p > > > > net.ipv4.ip_forward = 1 > > > > > > > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una > > > > regla iptables postrouting en el servidor de esta forma: > > > > > > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE > > > > > > > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la > > > > máquina linux al hacer un traceroute e intentar llegar a un host > > > > interno pero no obtengo respuesta... Siempre he usado este método para > > > > otras conexiones VPN como por ejemplo openpvn o vpnc. > > > > > > > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0? > > > > > > > > Gracias de antemano. > > > > > > Buenas > > > realmente no necesitas "masquerear" los paquete de salida... > > > tenes que asegurarte solamente que salgan .. > > >
Re: [OT] VPN ikec - postrouting iptables
Buenas Matías, antes de nada gracias por contestar. Lo primero me corrijo, puesto que la regla postrouting estaba mal puesta: MAL: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE BIEN: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tap0 -j MASQUERADE Aún así no funciona... He lanzado tcpdump en la máquina linux que actúa de servidor, como cliente de la VPN, y lo que veo es que en cuanto lanzo un pingo desde mi máquina cliente hacia una ip del rango de las máquinas de la VPN 192.168.0.0/24, enruta bien y comienzo a ver "echo request ICMP" pero no veo "echo reply" ... No sé donde puede estar el problema, con otras conexiones VPN como openvpn, vpnc no he tenido problema... On Tue, Oct 16, 2018 at 2:10 PM Matias Mucciolo wrote: > > On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote: > > On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote: > > > Buenas, recientemente he montado un servidor bajo debian el cual lo > > > quiero para montar una VPN usando el software ikec. > > > > > > Lo tengo todo montado, conecta sin problemas y llego a los hosts > > > internos a través de la conexión VPN tap0 sin problemas. > > > > > > # ifconfig > > > > > > tap0 Link encap:Ethernet direcciónHW aa:7f:94:15:7d:cc > > > > > > Direc. inet:192.168.0.230 Difus.:192.168.0.230 > > > > > > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 > > > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MTU:1380 Métrica:1 > > > > > > Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 > > > Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 > > > colisiones:0 long.colaTX:1000 > > > Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) > > > > > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24 > > > > > > Mi máquina linux debian desktop tiene la 192.168.1.34 > > > > > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts > > > internos desde otra máquina linux, por ejemplo la mia desktop. Para > > > ello de forma rápida, me he puesto la ruta necesaria: > > > > > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33 > > > > > > Y el tráfico, ya se enruta correctamente. > > > > > > Faltaría activar ip forward en el servidor: > > > > > > # sysctl -p > > > net.ipv4.ip_forward = 1 > > > > > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una > > > regla iptables postrouting en el servidor de esta forma: > > > > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE > > > > > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la > > > máquina linux al hacer un traceroute e intentar llegar a un host > > > interno pero no obtengo respuesta... Siempre he usado este método para > > > otras conexiones VPN como por ejemplo openpvn o vpnc. > > > > > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0? > > > > > > Gracias de antemano. > > > > Buenas > > realmente no necesitas "masquerear" los paquete de salida... > > tenes que asegurarte solamente que salgan .. > > esta bien el ip_forward y el ruteo para que salga por el tap0 > > > > es decir si tu desk es la 1.34 y quiere acceder a la red .0.x > > hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas) > > es que no vuelven los paquetes..porque la red .0.X no sabe como llegar > > a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la > > regla de vuelta.. > > > > esto facilmente lo podes analizar con tcpdump..para ver si llegan los > > paquete y donde se queda...por ejemplo en le servidor podes poner > > > > tcpdump -i tap0 -n > > > > algo asi de sencillo y hacer un ping de tu desk a una ip .0.x > > y deberias ver lso paquetes saliendo por tap0.. > > > > ahora tenes que poner uno tcpdump en la otra punta y ver si llegan > > al host .0.x .. y a la inversa...proba haciendo traceroute > > desde la red .0.x a tu desk a ver que pasa.. > > > > si adjuntas tcpdump's y traceroute's bien detallados > > y rutas de los hosts en cuestiion seria mas facil de saber > > que estaria pasando.. > > > > saludos.. > > Matias. > > aclaracion ahora que reeleo creo que lo que no podes hacer es llegar > desde la .1.34 a la pc con la vpn.. todo lo que dije anterior > aplicalo al reves. jaja > > es decir la pc .1.34 no sabe como entrar al tap0. > no se que gateway tendra esa pc...pero deberia tener al menos > para esa red la ip .1.33 y hace las pruebas con tcpdump que te vas > a dar cuenta facilmente lo que esta pasando. > > saludos. > Matias
Re: [OT] VPN ikec - postrouting iptables
On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote: > On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote: > > Buenas, recientemente he montado un servidor bajo debian el cual lo > > quiero para montar una VPN usando el software ikec. > > > > Lo tengo todo montado, conecta sin problemas y llego a los hosts > > internos a través de la conexión VPN tap0 sin problemas. > > > > # ifconfig > > > > tap0 Link encap:Ethernet direcciónHW aa:7f:94:15:7d:cc > > > > Direc. inet:192.168.0.230 Difus.:192.168.0.230 > > > > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 > > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MTU:1380 Métrica:1 > > > > Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 > > Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 > > colisiones:0 long.colaTX:1000 > > Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) > > > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24 > > > > Mi máquina linux debian desktop tiene la 192.168.1.34 > > > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts > > internos desde otra máquina linux, por ejemplo la mia desktop. Para > > ello de forma rápida, me he puesto la ruta necesaria: > > > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33 > > > > Y el tráfico, ya se enruta correctamente. > > > > Faltaría activar ip forward en el servidor: > > > > # sysctl -p > > net.ipv4.ip_forward = 1 > > > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una > > regla iptables postrouting en el servidor de esta forma: > > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE > > > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la > > máquina linux al hacer un traceroute e intentar llegar a un host > > interno pero no obtengo respuesta... Siempre he usado este método para > > otras conexiones VPN como por ejemplo openpvn o vpnc. > > > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0? > > > > Gracias de antemano. > > Buenas > realmente no necesitas "masquerear" los paquete de salida... > tenes que asegurarte solamente que salgan .. > esta bien el ip_forward y el ruteo para que salga por el tap0 > > es decir si tu desk es la 1.34 y quiere acceder a la red .0.x > hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas) > es que no vuelven los paquetes..porque la red .0.X no sabe como llegar > a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la > regla de vuelta.. > > esto facilmente lo podes analizar con tcpdump..para ver si llegan los > paquete y donde se queda...por ejemplo en le servidor podes poner > > tcpdump -i tap0 -n > > algo asi de sencillo y hacer un ping de tu desk a una ip .0.x > y deberias ver lso paquetes saliendo por tap0.. > > ahora tenes que poner uno tcpdump en la otra punta y ver si llegan > al host .0.x .. y a la inversa...proba haciendo traceroute > desde la red .0.x a tu desk a ver que pasa.. > > si adjuntas tcpdump's y traceroute's bien detallados > y rutas de los hosts en cuestiion seria mas facil de saber > que estaria pasando.. > > saludos.. > Matias. aclaracion ahora que reeleo creo que lo que no podes hacer es llegar desde la .1.34 a la pc con la vpn.. todo lo que dije anterior aplicalo al reves. jaja es decir la pc .1.34 no sabe como entrar al tap0. no se que gateway tendra esa pc...pero deberia tener al menos para esa red la ip .1.33 y hace las pruebas con tcpdump que te vas a dar cuenta facilmente lo que esta pasando. saludos. Matias
Re: [OT] VPN ikec - postrouting iptables
On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote: > Buenas, recientemente he montado un servidor bajo debian el cual lo > quiero para montar una VPN usando el software ikec. > > Lo tengo todo montado, conecta sin problemas y llego a los hosts > internos a través de la conexión VPN tap0 sin problemas. > > # ifconfig > > tap0 Link encap:Ethernet direcciónHW aa:7f:94:15:7d:cc > Direc. inet:192.168.0.230 Difus.:192.168.0.230 > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MTU:1380 Métrica:1 > Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 > Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 > colisiones:0 long.colaTX:1000 > Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24 > > Mi máquina linux debian desktop tiene la 192.168.1.34 > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts > internos desde otra máquina linux, por ejemplo la mia desktop. Para > ello de forma rápida, me he puesto la ruta necesaria: > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33 > > Y el tráfico, ya se enruta correctamente. > > Faltaría activar ip forward en el servidor: > > # sysctl -p > net.ipv4.ip_forward = 1 > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una > regla iptables postrouting en el servidor de esta forma: > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la > máquina linux al hacer un traceroute e intentar llegar a un host > interno pero no obtengo respuesta... Siempre he usado este método para > otras conexiones VPN como por ejemplo openpvn o vpnc. > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0? > > Gracias de antemano. Buenas realmente no necesitas "masquerear" los paquete de salida... tenes que asegurarte solamente que salgan .. esta bien el ip_forward y el ruteo para que salga por el tap0 es decir si tu desk es la 1.34 y quiere acceder a la red .0.x hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas) es que no vuelven los paquetes..porque la red .0.X no sabe como llegar a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la regla de vuelta.. esto facilmente lo podes analizar con tcpdump..para ver si llegan los paquete y donde se queda...por ejemplo en le servidor podes poner tcpdump -i tap0 -n algo asi de sencillo y hacer un ping de tu desk a una ip .0.x y deberias ver lso paquetes saliendo por tap0.. ahora tenes que poner uno tcpdump en la otra punta y ver si llegan al host .0.x .. y a la inversa...proba haciendo traceroute desde la red .0.x a tu desk a ver que pasa.. si adjuntas tcpdump's y traceroute's bien detallados y rutas de los hosts en cuestiion seria mas facil de saber que estaria pasando.. saludos.. Matias.
[OT] VPN ikec - postrouting iptables
Buenas, recientemente he montado un servidor bajo debian el cual lo quiero para montar una VPN usando el software ikec. Lo tengo todo montado, conecta sin problemas y llego a los hosts internos a través de la conexión VPN tap0 sin problemas. # ifconfig tap0 Link encap:Ethernet direcciónHW aa:7f:94:15:7d:cc Direc. inet:192.168.0.230 Difus.:192.168.0.230 Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MTU:1380 Métrica:1 Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0 Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0 colisiones:0 long.colaTX:1000 Bytes RX:0 (0.0 B) TX bytes:0 (0.0 B) La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24 Mi máquina linux debian desktop tiene la 192.168.1.34 Ahora pasaría al siguiente punto, que es poder acceder a los hosts internos desde otra máquina linux, por ejemplo la mia desktop. Para ello de forma rápida, me he puesto la ruta necesaria: route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33 Y el tráfico, ya se enruta correctamente. Faltaría activar ip forward en el servidor: # sysctl -p net.ipv4.ip_forward = 1 Y finalmente, como siempre he hecho para conexiones openvpn, meter una regla iptables postrouting en el servidor de esta forma: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la máquina linux al hacer un traceroute e intentar llegar a un host interno pero no obtengo respuesta... Siempre he usado este método para otras conexiones VPN como por ejemplo openpvn o vpnc. Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0? Gracias de antemano.
Re: Consulta nateo - iptables
El vie., 14 de sep. de 2018 12:38, Fernando Romero escribió: > > > El 14 de septiembre de 2018, 11:42, OddieX escribió: > >> >> >> El vie., 14 de sep. de 2018 11:36, escribió: >> >>> >>> >>> > El 14 sept 2018, a las 13:21, Fernando Romero >>> escribió: >>> > >>> > Hola como están. >>> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean >>> entre si, una 192.168.1.0 y otra 192.168.1.2. >>> >>> Asumo que eso es un error… ambas IP son de la misma red >>> >>> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no >>> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 >>> > Esto es un punto a punto, en el medio tengo solamente un router de >>> Metrotel que lo único que hace es todo paquete que llegue a cada red lo >>> reenvía a la misma. >>> > El outbound me esta funcionando bien, pero algo de iptable no me esta >>> dejando volver a la 1.0 >>> >>> Sin conocer como están definidos los interfaces y rutas en el equipo >>> origen y destino, así como las reglas de iptables y que es un “router de >>> Metrotel”, es complicado decir que puede ocurrir. >>> >>> De todos modos yo empezaría por comprobar que las máscaras de red estén >>> bien definidas en los equipos (origen y destino) con los que haces las >>> pruebas. >>> >>> Danos más info y algo veremos. >>> >>> Un saludo >>> >>> > >>> > Saludos >>> >>> >>> >>> >>> >>> >> Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes >> tienen la misma puerta de enlace y el router tiene las 2 subredes >> configuradas? >> >> Probaste hacer un -j masquerade a ver si enmascarando la podes ver? >> >> No probe eso, lo voy a probar > Imagino a tiraste un tracert hacia la red q no llegas a ver que sucede... Lo que podes probar es configueando rutas hacia la otra red manualmente en los clientes especificando q busque la otra subred via el router del medio
Re: Consulta nateo - iptables
El 14 de septiembre de 2018, 11:18, escribió: > > > > El 14 sept 2018, a las 13:21, Fernando Romero > escribió: > > > > Hola como están. > > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean > entre si, una 192.168.1.0 y otra 192.168.1.2. > > Asumo que eso es un error… ambas IP son de la misma red > > > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no > al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 > > Esto es un punto a punto, en el medio tengo solamente un router de > Metrotel que lo único que hace es todo paquete que llegue a cada red lo > reenvía a la misma. > > El outbound me esta funcionando bien, pero algo de iptable no me esta > dejando volver a la 1.0 > > Sin conocer como están definidos los interfaces y rutas en el equipo > origen y destino, así como las reglas de iptables y que es un “router de > Metrotel”, es complicado decir que puede ocurrir. > > De todos modos yo empezaría por comprobar que las máscaras de red estén > bien definidas en los equipos (origen y destino) con los que haces las > pruebas. > > Danos más info y algo veremos. > > Un saludo > > > > > Saludos > > > Metrotel el proveedor ISP que une las punto a punto
Re: Consulta nateo - iptables
El 14 de septiembre de 2018, 11:42, OddieX escribió: > > > El vie., 14 de sep. de 2018 11:36, escribió: > >> >> >> > El 14 sept 2018, a las 13:21, Fernando Romero >> escribió: >> > >> > Hola como están. >> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean >> entre si, una 192.168.1.0 y otra 192.168.1.2. >> >> Asumo que eso es un error… ambas IP son de la misma red >> >> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no >> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 >> > Esto es un punto a punto, en el medio tengo solamente un router de >> Metrotel que lo único que hace es todo paquete que llegue a cada red lo >> reenvía a la misma. >> > El outbound me esta funcionando bien, pero algo de iptable no me esta >> dejando volver a la 1.0 >> >> Sin conocer como están definidos los interfaces y rutas en el equipo >> origen y destino, así como las reglas de iptables y que es un “router de >> Metrotel”, es complicado decir que puede ocurrir. >> >> De todos modos yo empezaría por comprobar que las máscaras de red estén >> bien definidas en los equipos (origen y destino) con los que haces las >> pruebas. >> >> Danos más info y algo veremos. >> >> Un saludo >> >> > >> > Saludos >> >> >> >> >> >> > Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes > tienen la misma puerta de enlace y el router tiene las 2 subredes > configuradas? > > Probaste hacer un -j masquerade a ver si enmascarando la podes ver? > > No probe eso, lo voy a probar
Re: Consulta nateo - iptables
El vie., 14 de sep. de 2018 11:36, escribió: > > > > El 14 sept 2018, a las 13:21, Fernando Romero > escribió: > > > > Hola como están. > > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean > entre si, una 192.168.1.0 y otra 192.168.1.2. > > Asumo que eso es un error… ambas IP son de la misma red > > > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no > al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 > > Esto es un punto a punto, en el medio tengo solamente un router de > Metrotel que lo único que hace es todo paquete que llegue a cada red lo > reenvía a la misma. > > El outbound me esta funcionando bien, pero algo de iptable no me esta > dejando volver a la 1.0 > > Sin conocer como están definidos los interfaces y rutas en el equipo > origen y destino, así como las reglas de iptables y que es un “router de > Metrotel”, es complicado decir que puede ocurrir. > > De todos modos yo empezaría por comprobar que las máscaras de red estén > bien definidas en los equipos (origen y destino) con los que haces las > pruebas. > > Danos más info y algo veremos. > > Un saludo > > > > > Saludos > > > > > > Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes tienen la misma puerta de enlace y el router tiene las 2 subredes configuradas? Probaste hacer un -j masquerade a ver si enmascarando la podes ver?
Re: Consulta nateo - iptables
> El 14 sept 2018, a las 13:21, Fernando Romero > escribió: > > Hola como están. > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean entre si, > una 192.168.1.0 y otra 192.168.1.2. Asumo que eso es un error… ambas IP son de la misma red > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no al > reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 > Esto es un punto a punto, en el medio tengo solamente un router de Metrotel > que lo único que hace es todo paquete que llegue a cada red lo reenvía a la > misma. > El outbound me esta funcionando bien, pero algo de iptable no me esta dejando > volver a la 1.0 Sin conocer como están definidos los interfaces y rutas en el equipo origen y destino, así como las reglas de iptables y que es un “router de Metrotel”, es complicado decir que puede ocurrir. De todos modos yo empezaría por comprobar que las máscaras de red estén bien definidas en los equipos (origen y destino) con los que haces las pruebas. Danos más info y algo veremos. Un saludo > > Saludos
Consulta nateo - iptables
Hola como están. Tengo una duda con el nateo, tengo 2 redes que necesito que se vean entre si, una 192.168.1.0 y otra 192.168.1.2. Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0 Esto es un punto a punto, en el medio tengo solamente un router de Metrotel que lo único que hace es todo paquete que llegue a cada red lo reenvía a la misma. El outbound me esta funcionando bien, pero algo de iptable no me esta dejando volver a la 1.0 Saludos
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25 de octubre de 2017 15:18:45 CEST, Juan Lavieri <jlavi...@gmail.com> escribió: >Hola. > >Ante todo por favor tomen nota que esta intervención no es una crítica >ni algo por el estilo, mas bien veámoslo como una consulta en la misma >corriente de la consulta original. > > >El 25-10-2017 a las 08:16 a.m., JAP escribió: > >El 24/10/17 a las 22:41, u...@tutanota.de escribió: > > >Hola, como tuve inconvenientes con iptables-persistent y slim. El >Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando >los metodos para la carga de un script con las reglas al inicio del >sistema. Pero encontré tutoriales con varios años y no se si todavia >sirven para las versiones actuales de Debian. > >No se si colocarlo en /etc/network/if-pre-up.d >o en /etc/rc.local > >Por favor me podrían recomendar cual es el lugar mas fiable y seguro en >donde colocar el script para Debian 8/9 > >Gracias, saludos > > > >TODA la bibliografía de iptables recomienda crear las reglas en >/etc/rc.local o colgar un script desde allí. > > >¿Han tomado el cuenta que la mayor parte de la información sobre >iptables no está totalmente actualizada? > >Me explico. Actualmente debian utiliza systemd como sistema de inicio >y según tengo entendido, los scripts colocados en rc.local no se >inician de manera automática. > >Esto hace que la mejor manera de manejar el arranque de los diferentes >demonios sea mediante el propio systemd. > >Yo personalmente seguí las instruccines que se muestran aquí: > >https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ > >luego de adaptarlas a mis necesidades. > > > >Desventaja: hay que ir probando de a una en una consola hasta que >funcione como te guste, pues la construcción es a mano. Pero una vez >logras lo que quieres, funciona sin inconvenientes. > >Ventaja: al ejecutarse al final de la secuencia de arranque, te >asegurás que todo está funcionando sin inconvenientes. Instalarlas como >ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no >funcione como es debido si has tenido un problema durante el proceso de >configuración de la red en el arranque. > >Si te estás metiendo con iptables, es porque estás profundizando tus >conocimientos de GNU/Linux, por lo que las interfaces de configuración >gráficas, no son lo mejor que tienes para aprender. > >iptables-persistent es interesante, pero lo mejor, es empezar cada >arranque con todo iptables limpio, y configurarlo línea a línea. > >No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te >puede dar una mano. > >Saludos. > > >Saludos. >-- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los >demás. Juan, solo le veo un inconveniente a este método, y es que si, por ejemplo, tienes un software como fail2ban, que va agregando reglas a iptables, y no salvas y restauras las reglas en el momento de un reinicio, y reestableces solo las que hay en el script, fail2ban tiene que volver a orlas agregando conforme vayan atacando. Lo mismo se podría modificar el script para que importara también las salvadas anteriormente. Saludos, Ramses
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25/10/17 a las 10:18, Juan Lavieri escribió: Hola. Ante todo por favor tomen nota que esta intervención no es una crítica ni algo por el estilo, mas bien veámoslo como una consulta en la misma corriente de la consulta original. El 25-10-2017 a las 08:16 a.m., JAP escribió: El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. ¿Han tomado el cuenta que la mayor parte de la información sobre iptables no está totalmente actualizada? man iptables Actualizado a la versión 1.6.1 en "buster", que es la última, que con ipv6 anda que es una maravilla. Y si te quedan dudas, http://netfilter.org/projects/iptables/ Me explico. Actualmente debian utiliza systemd como sistema de inicio y según tengo entendido, los scripts colocados en rc.local no se inician de manera automática. Sigue funcionando como siempre. La única diferencia es que se llama desde un script específico de systemd El cual, si uno se anima, se puede toquetear al igual que /etc/rc.local. Pero por una cuestión de costumbre, prefiero mantener las cosas en este viejo, pues es más fácil de ubicar. Tal vez a futuro, lo más prolijo sería que /etc/rc.local se convierta en un enlace a /lib/systemd/system/rc-local.service - :~# cat /lib/systemd/system/rc-local.service # This file is part of systemd. # # systemd is free software; you can redistribute it and/or modify it # under the terms of the GNU Lesser General Public License as published by # the Free Software Foundation; either version 2.1 of the License, or # (at your option) any later version. # This unit gets pulled automatically into multi-user.target by # systemd-rc-local-generator if /etc/rc.local is executable. [Unit] Description=/etc/rc.local Compatibility ConditionFileIsExecutable=/etc/rc.local After=network.target [Service] Type=forking ExecStart=/etc/rc.local start TimeoutSec=0 RemainAfterExit=yes GuessMainPID=no - Lo único raro que hubo, fue que al principio, con "Jessie", /etc/rc.local no era "ejecutable por defecto", y por ende, /lib/systemd/system/rc-local.service no lo ejecutaba, razón por la que había que cambiarle los permisos a mano. Esto hace que la mejor manera de manejar el arranque de los diferentes demonios sea mediante el propio systemd. Yo personalmente seguí las instruccines que se muestran aquí: https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ luego de adaptarlas a mis necesidades. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. Saludos. -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás. Según mi psicólogo, la culpa es de los padres... -- JAP https://wiki.debian.org/es/NormasLista
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola. Ante todo por favor tomen nota que esta intervención no es una crítica ni algo por el estilo, mas bien veámoslo como una consulta en la misma corriente de la consulta original. El 25-10-2017 a las 08:16 a.m., JAP escribió: El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. ¿Han tomado el cuenta que la mayor parte de la información sobre iptables no está totalmente actualizada? Me explico. Actualmente debian utiliza systemd como sistema de inicio y según tengo entendido, los scripts colocados en rc.local no se inician de manera automática. Esto hace que la mejor manera de manejar el arranque de los diferentes demonios sea mediante el propio systemd. Yo personalmente seguí las instruccines que se muestran aquí: https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ luego de adaptarlas a mis necesidades. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. Saludos. -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás.
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 24/10/17 a las 22:41, u...@tutanota.de escribió: Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.d o en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos TODA la bibliografía de iptables recomienda crear las reglas en /etc/rc.local o colgar un script desde allí. Desventaja: hay que ir probando de a una en una consola hasta que funcione como te guste, pues la construcción es a mano. Pero una vez logras lo que quieres, funciona sin inconvenientes. Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás que todo está funcionando sin inconvenientes. Instalarlas como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es debido si has tenido un problema durante el proceso de configuración de la red en el arranque. Si te estás metiendo con iptables, es porque estás profundizando tus conocimientos de GNU/Linux, por lo que las interfaces de configuración gráficas, no son lo mejor que tienes para aprender. iptables-persistent es interesante, pero lo mejor, es empezar cada arranque con todo iptables limpio, y configurarlo línea a línea. No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te puede dar una mano. Saludos. -- JAP https://wiki.debian.org/es/NormasLista
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El 25 de octubre de 2017, 3:41, <u...@tutanota.de> escribió: > > Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop > manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos > para la carga de un script con las reglas al inicio del sistema. Pero > encontré tutoriales con varios años y no se si todavia sirven para las > versiones actuales de Debian. > > No se si colocarlo en /etc/network/if-pre-up.d > o en /etc/rc.local > > Por favor me podrían recomendar cual es el lugar mas fiable y seguro en > donde colocar el script para Debian 8/9 > > Gracias, saludos > > > siempre en /etc/network entre que se ejecuta el servicio de network y se ejecuta el rc.local (que es el último), pueden pasar milisegundos o minutos por un atasque de por medio; y durante ese intervalo tu máquina NO está protegida, -- [o - - - -- - (\ | u d t ( \_('> c c s (__(=_) s o ? -"=
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
El día 24 de octubre de 2017, 23:19, Fausto Disla <faus...@gmail.com> escribió: > Hola, > > Me parece que en /etc/rc.local seria lo ideal > > Gracias > > On Oct 24, 2017 9:41 PM, <u...@tutanota.de> wrote: >> >> >> Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop >> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos >> para la carga de un script con las reglas al inicio del sistema. Pero >> encontré tutoriales con varios años y no se si todavia sirven para las >> versiones actuales de Debian. >> >> No se si colocarlo en /etc/network/if-pre-up.d >> o en /etc/rc.local >> >> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en >> donde colocar el script para Debian 8/9 >> >> Gracias, saludos >> >> > Opino igual, en rc.local seria lo mejor, pero si usas debian te recomiendo usar Shorewall! Una vez que lo usas te olvidas de iptables...
Re: Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola, Me parece que en /etc/rc.local seria lo ideal Gracias On Oct 24, 2017 9:41 PM, <u...@tutanota.de> wrote: > > Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop > manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos > para la carga de un script con las reglas al inicio del sistema. Pero > encontré tutoriales con varios años y no se si todavia sirven para las > versiones actuales de Debian. > > No se si colocarlo en /etc/network/if-pre-up.d > o en /etc/rc.local > > Por favor me podrían recomendar cual es el lugar mas fiable y seguro en > donde colocar el script para Debian 8/9 > > Gracias, saludos > > >
Iptables - mejor metodo para cargar reglas al inicio del sistema
Hola, como tuve inconvenientes con iptables-persistent y slim. El Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para la carga de un script con las reglas al inicio del sistema. Pero encontré tutoriales con varios años y no se si todavia sirven para las versiones actuales de Debian. No se si colocarlo en /etc/network/if-pre-up.do en /etc/rc.local Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde colocar el script para Debian 8/9 Gracias, saludos
Re: de iptables
El 25 ago. 2017 8:07 p. m., <l...@ida.cu> escribió: > Ejecuta sólo iptables desde la consola, para ver el resultado y probá > poner > todo el camino dentro del scripts de iptables. Lo estás ejecutando como > root ? > > El 25 ago. 2017 14:42, <l...@ida.cu> escribió: > >> > Tienes un espacio en blanco después del signo de exclamación. >> > >> > #! /bin/bash >> > >> > El 25-08-2017 14:03, <l...@ida.cu> escribió: >> > >> > Buenas tardes a todos. >> > >> > Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. >> > >> > El problema es el siguiente >> > >> > Tengo este script: >> > >> > #! /bin/bash >> > >> > ## wan-etho, LAN-eth1 >> > iptables -F >> > iptables -X >> > iptables -Z >> > ##iptables -t nat -F >> > >> > ## Establecemos politica por defecto: DROP!!! >> > iptables -P INPUT DROP >> > iptables -P OUTPUT DROP >> > iptables -P FORWARD DROP >> > >> > # Permitir todo a localhost (firewall) >> > iptables -A INPUT -i lo -j ACCEPT >> > iptables -A OUTPUT -o lo -j ACCEPT >> > >> > # Enmascaramiento de la Lan >> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j >> MASQUERADE >> > >> > #iptables -t nat -P PREROUTING ACCEPT >> > #iptables -t nat -P POSTROUTING ACCEPT >> > >> > # Aceptamos que Svr DNS consulten DNS de la WAN >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > >> > le doy los permisos >> > >> > chmod +x firewall >> > lo ejecuto:./firewall y como resultado obtengo esto: >> > >> > "Interprete erroneo, no existe el fichero o el directorio" >> > >> > Y todo esto lo hago en el mismo directorio donde está el fichero. >> > >> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C >> viene >> en >> > el sistema pero bueno no C si hay que hacer algo más ?? >> > >> > Agradezco toda ayuda. >> > >> >> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya. >> >> Grcias de todas maneras, pero sigo igual >> >> > Hola siii comando a comando tecleado desde consola todos funcionaron perfectamente bien pero desde el fichero no y no c cual es el problema le doy permisos chmod +x firewall y para ejecutarlo ./firewall desde el directorio donde está La verdad nunca me había pasado esto bash -x firewall
Re: de iptables
> Ejecuta sólo iptables desde la consola, para ver el resultado y probá > poner > todo el camino dentro del scripts de iptables. Lo estás ejecutando como > root ? > > El 25 ago. 2017 14:42, <l...@ida.cu> escribió: > >> > Tienes un espacio en blanco después del signo de exclamación. >> > >> > #! /bin/bash >> > >> > El 25-08-2017 14:03, <l...@ida.cu> escribió: >> > >> > Buenas tardes a todos. >> > >> > Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. >> > >> > El problema es el siguiente >> > >> > Tengo este script: >> > >> > #! /bin/bash >> > >> > ## wan-etho, LAN-eth1 >> > iptables -F >> > iptables -X >> > iptables -Z >> > ##iptables -t nat -F >> > >> > ## Establecemos politica por defecto: DROP!!! >> > iptables -P INPUT DROP >> > iptables -P OUTPUT DROP >> > iptables -P FORWARD DROP >> > >> > # Permitir todo a localhost (firewall) >> > iptables -A INPUT -i lo -j ACCEPT >> > iptables -A OUTPUT -o lo -j ACCEPT >> > >> > # Enmascaramiento de la Lan >> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j >> MASQUERADE >> > >> > #iptables -t nat -P PREROUTING ACCEPT >> > #iptables -t nat -P POSTROUTING ACCEPT >> > >> > # Aceptamos que Svr DNS consulten DNS de la WAN >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > >> > le doy los permisos >> > >> > chmod +x firewall >> > lo ejecuto:./firewall y como resultado obtengo esto: >> > >> > "Interprete erroneo, no existe el fichero o el directorio" >> > >> > Y todo esto lo hago en el mismo directorio donde está el fichero. >> > >> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C >> viene >> en >> > el sistema pero bueno no C si hay que hacer algo más ?? >> > >> > Agradezco toda ayuda. >> > >> >> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya. >> >> Grcias de todas maneras, pero sigo igual >> >> > Hola siii comando a comando tecleado desde consola todos funcionaron perfectamente bien pero desde el fichero no y no c cual es el problema le doy permisos chmod +x firewall y para ejecutarlo ./firewall desde el directorio donde está La verdad nunca me había pasado esto
Re: de iptables
El 25/08/17 a las 14:08, l...@ida.cu escribió: Buenas tardes a todos. Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. El problema es el siguiente Tengo este script: #! /bin/bash ## wan-etho, LAN-eth1 iptables -F iptables -X iptables -Z ##iptables -t nat -F ## Establecemos politica por defecto: DROP!!! iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Permitir todo a localhost (firewall) iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Enmascaramiento de la Lan iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE #iptables -t nat -P PREROUTING ACCEPT #iptables -t nat -P POSTROUTING ACCEPT # Aceptamos que Svr DNS consulten DNS de la WAN iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT le doy los permisos chmod +x firewall lo ejecuto:./firewall y como resultado obtengo esto: "Interprete erroneo, no existe el fichero o el directorio" Y todo esto lo hago en el mismo directorio donde está el fichero. Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en el sistema pero bueno no C si hay que hacer algo más ?? Agradezco toda ayuda. apt-get install bash JAP
Re: de iptables
> Si estás logueado con la cuenta root no deberias tener problemas para > hacer > la llamada a iptables. Lo mismo si lo haces con sudo. > > Revisa si la cuenta con la cual estás haciendo la llamada tenga los > privilegios de administración correspondientes. > > > > El 25-08-2017 14:42, <l...@ida.cu> escribió: > >> > Tienes un espacio en blanco después del signo de exclamación. >> > >> > #! /bin/bash >> > >> > El 25-08-2017 14:03, <l...@ida.cu> escribió: >> > >> > Buenas tardes a todos. >> > >> > Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. >> > >> > El problema es el siguiente >> > >> > Tengo este script: >> > >> > #! /bin/bash >> > >> > ## wan-etho, LAN-eth1 >> > iptables -F >> > iptables -X >> > iptables -Z >> > ##iptables -t nat -F >> > >> > ## Establecemos politica por defecto: DROP!!! >> > iptables -P INPUT DROP >> > iptables -P OUTPUT DROP >> > iptables -P FORWARD DROP >> > >> > # Permitir todo a localhost (firewall) >> > iptables -A INPUT -i lo -j ACCEPT >> > iptables -A OUTPUT -o lo -j ACCEPT >> > >> > # Enmascaramiento de la Lan >> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j >> MASQUERADE >> > >> > #iptables -t nat -P PREROUTING ACCEPT >> > #iptables -t nat -P POSTROUTING ACCEPT >> > >> > # Aceptamos que Svr DNS consulten DNS de la WAN >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j >> ACCEPT >> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j >> ACCEPT >> > >> > le doy los permisos >> > >> > chmod +x firewall >> > lo ejecuto:./firewall y como resultado obtengo esto: >> > >> > "Interprete erroneo, no existe el fichero o el directorio" >> > >> > Y todo esto lo hago en el mismo directorio donde está el fichero. >> > >> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C >> viene >> en >> > el sistema pero bueno no C si hay que hacer algo más ?? >> > >> > Agradezco toda ayuda. >> > >> >> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya. >> >> Grcias de todas maneras, pero sigo igual >> >> > Todo lo hago desde root
Re: de iptables
1- sale el permiso de ejecución chmod +x firewall Y lo verificas con ls -l 2- Ejecutarlo con la ruta completa Ejemplos; /root/./firewall /home/usuario/./firewall La siguiente tiene comilla simples '/alguna otra ruta con espacios/./firewall' Para ejecutarlo primeropon el punto antes del scrip y aislado en la ruta completa On August 25, 2017 11:47:33 AM GMT-06:00, l...@ida.cu wrote: >> Tienes un espacio en blanco después del signo de exclamación. >> >> #! /bin/bash >> >> El 25-08-2017 14:03, <l...@ida.cu> escribió: >> >> Buenas tardes a todos. >> >> Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. >> >> El problema es el siguiente >> >> Tengo este script: >> >> #! /bin/bash >> >> ## wan-etho, LAN-eth1 >> iptables -F >> iptables -X >> iptables -Z >> ##iptables -t nat -F >> >> ## Establecemos politica por defecto: DROP!!! >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -P FORWARD DROP >> >> # Permitir todo a localhost (firewall) >> iptables -A INPUT -i lo -j ACCEPT >> iptables -A OUTPUT -o lo -j ACCEPT >> >> # Enmascaramiento de la Lan >> iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j >MASQUERADE >> >> #iptables -t nat -P PREROUTING ACCEPT >> #iptables -t nat -P POSTROUTING ACCEPT >> >> # Aceptamos que Svr DNS consulten DNS de la WAN >> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j >ACCEPT >> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j >ACCEPT >> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j >ACCEPT >> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j >ACCEPT >> >> le doy los permisos >> >> chmod +x firewall >> lo ejecuto:./firewall y como resultado obtengo esto: >> >> "Interprete erroneo, no existe el fichero o el directorio" >> >> Y todo esto lo hago en el mismo directorio donde está el fichero. >> >> Alguna idea, tengo que instalar iptables, porque hasta donde yo C >viene en >> el sistema pero bueno no C si hay que hacer algo más ?? >> >> Agradezco toda ayuda. >> > >Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya. > >Grcias de todas maneras, pero sigo igual -- Sent from my Android device with K-9 Mail. Please excuse my brevity.
Re: de iptables
> Tienes un espacio en blanco después del signo de exclamación. > > #! /bin/bash > > El 25-08-2017 14:03, <l...@ida.cu> escribió: > > Buenas tardes a todos. > > Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. > > El problema es el siguiente > > Tengo este script: > > #! /bin/bash > > ## wan-etho, LAN-eth1 > iptables -F > iptables -X > iptables -Z > ##iptables -t nat -F > > ## Establecemos politica por defecto: DROP!!! > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > # Permitir todo a localhost (firewall) > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > # Enmascaramiento de la Lan > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE > > #iptables -t nat -P PREROUTING ACCEPT > #iptables -t nat -P POSTROUTING ACCEPT > > # Aceptamos que Svr DNS consulten DNS de la WAN > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT > > le doy los permisos > > chmod +x firewall > lo ejecuto:./firewall y como resultado obtengo esto: > > "Interprete erroneo, no existe el fichero o el directorio" > > Y todo esto lo hago en el mismo directorio donde está el fichero. > > Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en > el sistema pero bueno no C si hay que hacer algo más ?? > > Agradezco toda ayuda. > Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya. Grcias de todas maneras, pero sigo igual
de iptables
Buenas tardes a todos. Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura. El problema es el siguiente Tengo este script: #! /bin/bash ## wan-etho, LAN-eth1 iptables -F iptables -X iptables -Z ##iptables -t nat -F ## Establecemos politica por defecto: DROP!!! iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Permitir todo a localhost (firewall) iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Enmascaramiento de la Lan iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE #iptables -t nat -P PREROUTING ACCEPT #iptables -t nat -P POSTROUTING ACCEPT # Aceptamos que Svr DNS consulten DNS de la WAN iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT le doy los permisos chmod +x firewall lo ejecuto:./firewall y como resultado obtengo esto: "Interprete erroneo, no existe el fichero o el directorio" Y todo esto lo hago en el mismo directorio donde está el fichero. Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en el sistema pero bueno no C si hay que hacer algo más ?? Agradezco toda ayuda.
Re: iptables
bueno, lo del log es porque en la última línea de tu archivo firewall está definido el registro: iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 con comentar esa línea es suficiente para dejar de ver el mensaje. Ahora bien, el protocolo RIP se usa para que los routers puedan descubrir nuevas rutas de encaminamiento. Si no deseas usar este sistema y poner directamente las rutas fijas puedes dejarlo cerrado, por ejemplo si tu equipo no sirve de gateway a otros miembros de tu red no tiene caso tenerlo abierto. Por el contrario si tu equipo actua como router o gateway lo mejor es abrir el puerto. El mié., 5 de abr. de 2017 a la(s) 08:14, R Calleja <rcalle...@gmail.com> escribió: > Hola Carlos, > tal vez configurando la red con una ip estatica se solucione, o debor > abrir el puerto > > UDP/520, como dices. > > Puedes decirme como se abre el puerto. > > Saludos, Roberto. > > > > El 1/4/17, Carlos Andrés Martín <marcar...@gmail.com> escribió: > > > > El 01/04/17 a las 15:34, Aaron D. escribió: > >> El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió: > >>> Buenas tardes, > >>> si alguien puede ayudarme, estoy intentando configurar el sistema mas > >>> seguro. > >>> Puse un firewall con iptables y me salen unos bloqueos en los mensajes > >>> del sistema que no entiendo. > >>> Pueden verlos en los ficheros adjuntos. > >>> > >>> Gracias, Roberto > >> > >> Saludos, el log indica que está bloqueando los paquetes enviados al > >> puerto UDP/520 este puerto normalmente es usado por el protocolo RIP > >> (Route Information Protocol). En este enlace puedes encontrar más > >> información sobre dicho protocolo: > >> https://es.wikipedia.org/wiki/Routing_Information_Protocol > >> > >> Para dejar de ver esos avisos en el log, debes abrir dicho puerto. > >> > >> Un saludo. > > Es cierto lo que te dice Aaron D. y te agrego que por la dirección de > > destino (DST=192.168.1.255), si no me equivoco, se está usando para > > hacer un broadcast... deberías revisar tu firewall en ese tipo de > > bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para > > resolver los DNS... alguno seguramente te podrá dar más información > > precisa... pero por ahí podés empezar. > > > > Suerte! > > > > Carlos > > > > > >
Re: iptables
Hola Carlos, tal vez configurando la red con una ip estatica se solucione, o debor abrir el puerto UDP/520, como dices. Puedes decirme como se abre el puerto. Saludos, Roberto. El 1/4/17, Carlos Andrés Martín <marcar...@gmail.com> escribió: > > El 01/04/17 a las 15:34, Aaron D. escribió: >> El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió: >>> Buenas tardes, >>> si alguien puede ayudarme, estoy intentando configurar el sistema mas >>> seguro. >>> Puse un firewall con iptables y me salen unos bloqueos en los mensajes >>> del sistema que no entiendo. >>> Pueden verlos en los ficheros adjuntos. >>> >>> Gracias, Roberto >> >> Saludos, el log indica que está bloqueando los paquetes enviados al >> puerto UDP/520 este puerto normalmente es usado por el protocolo RIP >> (Route Information Protocol). En este enlace puedes encontrar más >> información sobre dicho protocolo: >> https://es.wikipedia.org/wiki/Routing_Information_Protocol >> >> Para dejar de ver esos avisos en el log, debes abrir dicho puerto. >> >> Un saludo. > Es cierto lo que te dice Aaron D. y te agrego que por la dirección de > destino (DST=192.168.1.255), si no me equivoco, se está usando para > hacer un broadcast... deberías revisar tu firewall en ese tipo de > bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para > resolver los DNS... alguno seguramente te podrá dar más información > precisa... pero por ahí podés empezar. > > Suerte! > > Carlos > >
Re: iptables
El 01/04/17 a las 15:34, Aaron D. escribió: El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió: Buenas tardes, si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro. Puse un firewall con iptables y me salen unos bloqueos en los mensajes del sistema que no entiendo. Pueden verlos en los ficheros adjuntos. Gracias, Roberto Saludos, el log indica que está bloqueando los paquetes enviados al puerto UDP/520 este puerto normalmente es usado por el protocolo RIP (Route Information Protocol). En este enlace puedes encontrar más información sobre dicho protocolo: https://es.wikipedia.org/wiki/Routing_Information_Protocol Para dejar de ver esos avisos en el log, debes abrir dicho puerto. Un saludo. Es cierto lo que te dice Aaron D. y te agrego que por la dirección de destino (DST=192.168.1.255), si no me equivoco, se está usando para hacer un broadcast... deberías revisar tu firewall en ese tipo de bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para resolver los DNS... alguno seguramente te podrá dar más información precisa... pero por ahí podés empezar. Suerte! Carlos
Re: iptables
El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió: > Buenas tardes, > si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro. > Puse un firewall con iptables y me salen unos bloqueos en los mensajes > del sistema que no entiendo. > Pueden verlos en los ficheros adjuntos. > > Gracias, Roberto Saludos, el log indica que está bloqueando los paquetes enviados al puerto UDP/520 este puerto normalmente es usado por el protocolo RIP (Route Information Protocol). En este enlace puedes encontrar más información sobre dicho protocolo: https://es.wikipedia.org/wiki/Routing_Information_Protocol Para dejar de ver esos avisos en el log, debes abrir dicho puerto. Un saludo. -- Aaron D.
iptables
Buenas tardes, si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro. Puse un firewall con iptables y me salen unos bloqueos en los mensajes del sistema que no entiendo. Pueden verlos en los ficheros adjuntos. Gracias, Roberto firewall Description: Binary data [ 2423.851042] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1792 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2442.850214] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1794 PROTO=2 [ 2453.853016] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1795 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2457.851723] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1796 PROTO=2 [ 2472.851203] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1798 PROTO=2 [ 2483.852965] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1799 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2502.852157] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1801 PROTO=2 [ 2513.854905] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1802 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2517.853530] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1804 PROTO=2 [ 2532.853117] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1805 PROTO=2 [ 2543.854847] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1806 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2562.854072] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1810 PROTO=2 [ 2573.856777] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1811 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2577.855439] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1812 PROTO=2 [ 2592.854997] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1813 PROTO=2 [ 2603.856738] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1814 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2622.855907] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1816 PROTO=2 [ 2633.858640] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1817 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2637.857367] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1818 PROTO=2 [ 2652.856825] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1820 PROTO=2 [ 2663.858637] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1821 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2682.857801] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1823 PROTO=2 [ 2693.860517] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1824 PROTO=UDP SPT=520 DPT=520 LEN=72 [ 2697.859214] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1825 PROTO=2 [ 2712.858724] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1826 PROTO=2 [ 2723.860461] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1827 PROTO
Re: Sobre Iptables
Voy a responder a tu pregunta aunque la respuesta no creo sea la solucion mas eficiente para el problema que tienes, Cuba tiene 3 AS (BGP) http://bgp.he.net/AS11960#_prefixes http://bgp.he.net/AS27725#_prefixes http://bgp.he.net/AS10569#_prefixes De ahi puedes sacar los bloques ip que cada AS esta anunciando o bien manual o algun script que mantenga un archivo de texto actualizado para el iptables y limitar conexiones solo a ellos en una cadena del iptables, el problema que vas a enfrentar con esto es que hay muchas paginas .cu que no estan dentro del los bloques ip asignados a Cuba como google.com.cu y otras tantas más, es mas practico que montes squid con la restricción nacional por resolución dns. Saludos y Suerte El 16/03/17 a las 19:37, Zeque escribió: > > El 03/16/2017 03:27 AM, Dainel Fdezz escribió: >> No puede ser con proxy, solo conexión directa para que funcione en >> todos los dispositivos >> móviles, sí pudiera con squid ya lo tendría hecho, saludos >> >> El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com >> <mailto:elcap...@gmail.com>> escribió: >> >> Hola >> >> Squid..san google >> >> El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com >> <mailto:dfer...@gmail.com>> escribió: >> >> Hola Alguien sabe sí con iptables se puede restringir el >> acceso a dominios >> específicos, es decir yo soy cubano y en mi empresa me están >> pidiendo que monte >> wifi con navegación Nacional, su fuera con internet sería >> fácil, le asignara una >> IP a la wan del router y le diera acceso con Iptables >> (FORWARD) a esa IP tendría >> acceso a Internet. La pregunta es cómo hacer eso solo con los >> sitios .Cu saludos >> > > Estimo que los dominios .cu están todos alojados dentro de Cuba, de > ser así podrías ver en internet el listado de IPs por país (buscalo > como geoip txt) y ahí tendrás los rangos de IPs asociados a cuba para > permitir el puerto 80/443 solo a esos rangos de Ips > Espero que te sirva. > > Saludos, > > Zeque > 0xBDF54B00.asc Description: application/pgp-keys signature.asc Description: OpenPGP digital signature
Re: Sobre Iptables
El 03/16/2017 03:27 AM, Dainel Fdezz escribió: No puede ser con proxy, solo conexión directa para que funcione en todos los dispositivos móviles, sí pudiera con squid ya lo tendría hecho, saludos El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com <mailto:elcap...@gmail.com>> escribió: Hola Squid..san google El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com <mailto:dfer...@gmail.com>> escribió: Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios específicos, es decir yo soy cubano y en mi empresa me están pidiendo que monte wifi con navegación Nacional, su fuera con internet sería fácil, le asignara una IP a la wan del router y le diera acceso con Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso solo con los sitios .Cu saludos Estimo que los dominios .cu están todos alojados dentro de Cuba, de ser así podrías ver en internet el listado de IPs por país (buscalo como geoip txt) y ahí tendrás los rangos de IPs asociados a cuba para permitir el puerto 80/443 solo a esos rangos de Ips Espero que te sirva. Saludos, Zeque
Re: Sobre Iptables
El 16/03/17 a las 03:27, Dainel Fdezz escribió: > > No puede ser con proxy, solo conexión directa para que funcione en > todos los dispositivos móviles, sí pudiera con squid ya lo tendría > hecho, saludos > > Lo mejor sería poner una maquina con Squid a la salida hacia el ISP, que sea un proxy transparente. Con iptables podes hacerlo tirando la performance a la basura, porque normalmente iptables trabaja a nivel de red, pero tenes algunos plugins de iptables que permiten hacer cosas en la capa de aplicación (como por ejemplo el modulo string que puede ser usado para analizar el texto de un paquete para ver si es de un dominio .cu). Si no sabes a que capas me refiero, podes leer https://es.wikipedia.org/wiki/Modelo_OSI Saludos, Javier. -- Eco red Natural. Venta de productos orgánicos y BPA. Totalmente naturales. 4742-1581 / 156-424-0793 ecorednatu...@gmail.com
Re: Sobre Iptables
El 16/03/17 a las 03:18, Dainel Fdezz escribió: Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios específicos, es decir yo soy cubano y en mi empresa me están pidiendo que monte wifi con navegación Nacional, su fuera con internet sería fácil, le asignara una IP a la wan del router y le diera acceso con Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso solo con los sitios .Cu saludos Esto es lo que necesitás http://www.zeroshell.net/es/ Podrías armarlo a pulmón sobre una Debian, pero ZeroShell ya está armado, empaquetado y listo para usar. JAP
Re: Sobre Iptables
Hola Squid..san google El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com> escribió: > Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios > específicos, es decir yo soy cubano y en mi empresa me están pidiendo que > monte wifi con navegación Nacional, su fuera con internet sería fácil, le > asignara una IP a la wan del router y le diera acceso con Iptables > (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso > solo con los sitios .Cu saludos >
Re: Sobre Iptables
No puede ser con proxy, solo conexión directa para que funcione en todos los dispositivos móviles, sí pudiera con squid ya lo tendría hecho, saludos El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com> escribió: > Hola > > Squid..san google > > El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com> escribió: > >> Hola Alguien sabe sí con iptables se puede restringir el acceso a >> dominios específicos, es decir yo soy cubano y en mi empresa me están >> pidiendo que monte wifi con navegación Nacional, su fuera con internet >> sería fácil, le asignara una IP a la wan del router y le diera acceso con >> Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo >> hacer eso solo con los sitios .Cu saludos >> >
Sobre Iptables
Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios específicos, es decir yo soy cubano y en mi empresa me están pidiendo que monte wifi con navegación Nacional, su fuera con internet sería fácil, le asignara una IP a la wan del router y le diera acceso con Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso solo con los sitios .Cu saludos
Re: Duda con iptables
El 20/02/17 a las 20:02, Jose Pablo Rojas escribió: En la otra red también debe hacer el ruteo del gateway para que conozca esa red. El 20 de febrero de 2017, 11:28, Matias Mucciolo<mmucci...@suteba.org.ar> escribió: On Monday 20 February 2017 10:30:01 Antonio Moreno wrote: > Hola, tengo un equipo con squid para dar salida a internet a varios > usuarios, todo me funciona perfectamente. El problema lo tengo cuando > añado una ruta para acceder a otra red y me explico. > > Red 1 192.168.1.0/24 salida a internet > > Red 2 192.168.2.0/24 red de los clientes > > Red 3 192.168.250.0/24 red por VPN > > Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan > correctamente por internet > > Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la > red 3, pero cuando lo intento desde cualquiera de los clientes no llego, > haciendo un traceroute se me queda en la maquina de squid, ya que todas > las maquinas de la red 2 tienen como puerta de enlace la maquina squid. > > Sabriais decirme alguien como solucionar por iptables el acceso a la red > 3 desde cualquier usuario de la red 2? > > Muchas gracias y saludos > > > > > __ > Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. > > This email has been scanned by the Soria Natural Security System. > __ Buenas yo usaria tcpdump para ver los paquetes y donde se quedan. supongo que tenes varias interfaces de red...la red 3 decis que es una vpn pero nunca explicas como esta montada y que tipo de vpn es.. mucha ayuda sin conocer las reglas del firewall tampoco podemos darte ..es muy posible que el firewall(la maquina del squid) este bloqueando esos paquetes..o tambien existe la posibilidad que los clientes de la red 3(atras de la vpn) no sepan como llegar a los equipos de la red 2. pero bueno como te dije mira con tcpdump para ver donde van los paquetes, si vuelven, etc etc. saludos matias. La verdad es que Matias me has dado una pista de lo que me puede pasar y efectivamente lo he arreglado ya, el problema lo tenia en la ultima regla de iptables, en la que bloqueo todo lo que no sea la red 2 en el squid, y claro la red 3 no es accesible, por lo tanto he ampliado el rango a un /16 en lugar de un /24 y ya ha funcionado Muchas gracias a todos por la ayuda y en especial a Matias que me ha encendido la bombilla para caer en la solucion jejeje Un saludo __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. ___ __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. __ <>
Re: Duda con iptables
El 20/02/17 a las 20:25, Ramses escribió: El 20 de febrero de 2017 10:30:01 CET, Antonio Moreno <anto...@sorianatural.es> escribió: Hola, tengo un equipo con squid para dar salida a internet a varios usuarios, todo me funciona perfectamente. El problema lo tengo cuando añado una ruta para acceder a otra red y me explico. Red 1 192.168.1.0/24 salida a internet Red 2 192.168.2.0/24 red de los clientes Red 3 192.168.250.0/24 red por VPN Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan correctamente por internet Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la red 3, pero cuando lo intento desde cualquiera de los clientes no llego, haciendo un traceroute se me queda en la maquina de squid, ya que todas las maquinas de la red 2 tienen como puerta de enlace la maquina squid. Sabriais decirme alguien como solucionar por iptables el acceso a la red 3 desde cualquier usuario de la red 2? Muchas gracias y saludos __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. __ Y activar el ip-forwarding creo. Ya lo tengo activado, pero gracias por la ayuda Saludos, Ramses __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. ___ __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. __<>
Re: Duda con iptables
El 20 de febrero de 2017 10:30:01 CET, Antonio Moreno <anto...@sorianatural.es> escribió: >Hola, tengo un equipo con squid para dar salida a internet a varios >usuarios, todo me funciona perfectamente. El problema lo tengo cuando >añado una ruta para acceder a otra red y me explico. > >Red 1 192.168.1.0/24 salida a internet > >Red 2 192.168.2.0/24 red de los clientes > >Red 3 192.168.250.0/24 red por VPN > >Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan >correctamente por internet > >Pero cuando meto la red 3, desde la maquina de squid hago ping a toda >la >red 3, pero cuando lo intento desde cualquiera de los clientes no >llego, >haciendo un traceroute se me queda en la maquina de squid, ya que todas > >las maquinas de la red 2 tienen como puerta de enlace la maquina squid. > >Sabriais decirme alguien como solucionar por iptables el acceso a la >red >3 desde cualquier usuario de la red 2? > >Muchas gracias y saludos > > > > >__ >Este correo ha sido escaneado por el Sistema de Seguridad de Soria >Natural. > >This email has been scanned by the Soria Natural Security System. >__ Y activar el ip-forwarding creo. Saludos, Ramses
Re: Duda con iptables
En la otra red también debe hacer el ruteo del gateway para que conozca esa red. El 20 de febrero de 2017, 11:28, Matias Mucciolo<mmucci...@suteba.org.ar> escribió: > > On Monday 20 February 2017 10:30:01 Antonio Moreno wrote: > > Hola, tengo un equipo con squid para dar salida a internet a varios > > usuarios, todo me funciona perfectamente. El problema lo tengo cuando > > añado una ruta para acceder a otra red y me explico. > > > > Red 1 192.168.1.0/24 salida a internet > > > > Red 2 192.168.2.0/24 red de los clientes > > > > Red 3 192.168.250.0/24 red por VPN > > > > Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan > > correctamente por internet > > > > Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la > > red 3, pero cuando lo intento desde cualquiera de los clientes no llego, > > haciendo un traceroute se me queda en la maquina de squid, ya que todas > > las maquinas de la red 2 tienen como puerta de enlace la maquina squid. > > > > Sabriais decirme alguien como solucionar por iptables el acceso a la red > > 3 desde cualquier usuario de la red 2? > > > > Muchas gracias y saludos > > > > > > > > > > __ > > Este correo ha sido escaneado por el Sistema de Seguridad de Soria > Natural. > > > > This email has been scanned by the Soria Natural Security System. > > __ > > Buenas > > yo usaria tcpdump para ver los paquetes y donde se quedan. > supongo que tenes varias interfaces de red...la red 3 > decis que es una vpn pero nunca explicas como esta montada > y que tipo de vpn es.. > mucha ayuda sin conocer las reglas del firewall tampoco podemos > darte ..es muy posible que el firewall(la maquina del squid) > este bloqueando esos paquetes..o tambien existe la posibilidad > que los clientes de la red 3(atras de la vpn) no sepan como llegar > a los equipos de la red 2. > > pero bueno como te dije mira con tcpdump para ver donde van > los paquetes, si vuelven, etc etc. > > saludos > matias. > >
Re: Duda con iptables
On Monday 20 February 2017 10:30:01 Antonio Moreno wrote: > Hola, tengo un equipo con squid para dar salida a internet a varios > usuarios, todo me funciona perfectamente. El problema lo tengo cuando > añado una ruta para acceder a otra red y me explico. > > Red 1 192.168.1.0/24 salida a internet > > Red 2 192.168.2.0/24 red de los clientes > > Red 3 192.168.250.0/24 red por VPN > > Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan > correctamente por internet > > Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la > red 3, pero cuando lo intento desde cualquiera de los clientes no llego, > haciendo un traceroute se me queda en la maquina de squid, ya que todas > las maquinas de la red 2 tienen como puerta de enlace la maquina squid. > > Sabriais decirme alguien como solucionar por iptables el acceso a la red > 3 desde cualquier usuario de la red 2? > > Muchas gracias y saludos > > > > > __ > Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. > > This email has been scanned by the Soria Natural Security System. > __ Buenas yo usaria tcpdump para ver los paquetes y donde se quedan. supongo que tenes varias interfaces de red...la red 3 decis que es una vpn pero nunca explicas como esta montada y que tipo de vpn es.. mucha ayuda sin conocer las reglas del firewall tampoco podemos darte ..es muy posible que el firewall(la maquina del squid) este bloqueando esos paquetes..o tambien existe la posibilidad que los clientes de la red 3(atras de la vpn) no sepan como llegar a los equipos de la red 2. pero bueno como te dije mira con tcpdump para ver donde van los paquetes, si vuelven, etc etc. saludos matias.
Duda con iptables
Hola, tengo un equipo con squid para dar salida a internet a varios usuarios, todo me funciona perfectamente. El problema lo tengo cuando añado una ruta para acceder a otra red y me explico. Red 1 192.168.1.0/24 salida a internet Red 2 192.168.2.0/24 red de los clientes Red 3 192.168.250.0/24 red por VPN Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan correctamente por internet Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la red 3, pero cuando lo intento desde cualquiera de los clientes no llego, haciendo un traceroute se me queda en la maquina de squid, ya que todas las maquinas de la red 2 tienen como puerta de enlace la maquina squid. Sabriais decirme alguien como solucionar por iptables el acceso a la red 3 desde cualquier usuario de la red 2? Muchas gracias y saludos __ Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural. This email has been scanned by the Soria Natural Security System. __<>
Re: Duda en iptables
Lo que necesitas es natear y enmascarar las IP que dijise por las IP de salida... Hay mucha info por internet dando vuelta, creo que es algo de lo mas sencillo de hacer con iptables, es mas el caso que te dijo Dixan Rivas deberia funcionar, y es mas, simplemente con estos 2 comandos deberia funcionarte: #Habilitar renvio de paquetes echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s (El IP que quieras natear) -j MASQUERADE Porque no usas shorewall? Es muy bueno, muy completo y bastante facil de configurar... El 9 de febrero de 2017, 10:36, Dainel Fdezz <dfer...@gmail.com> escribió: > Busca el manual que te recomendé yo lo hago con ip privadas poniendo la ip > del firewall como gateway. Saludos > El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com> escribió: > > Escribe a la lista no a mi y el forward en este caso no se puede usar > porque las ip internas son privadas tiene que hacer NAT. > > > Saludos > > > > On 09/02/17 13:24, Dainel Fdezz wrote: > > Para lo que quieres hacer se utiliza Forward y funciona genial. Busca en > internet el manual de iptables de Pello y lo encontrarás todo. Saludos > El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com> escribió: > >> >> >> On 07/02/17 19:15, l...@ida.cu wrote: >> >>> El 07/02/17 a las 19:24, l...@ida.cu escribió: >>>> >>>>> Buenas tardes a todos. >>>>> >>>>> Es 1ra vez que uso iptables. >>>>> >>>>> Tengo varias PC con estas IP y necesito darles acceso full hacia >>>>> internet >>>>> >>>>> # A estas ip le permitimos todo >>>>> iptables -A INPUT -s 192.168.101.12 -j ACCEPT >>>>> iptables -A INPUT -s 192.168.101.13 -j ACCEPT >>>>> iptables -A INPUT -s 192.168.101.14 -j ACCEPT >>>>> iptables -A INPUT -s 192.168.101.15 -j ACCEPT >>>>> iptables -A INPUT -s 192.168.101.16 -j ACCEPT >>>>> >>>>> Qué regla puedo escribir para que en vez de todas estas líneas >>>>> establecerlo con un rango de ip y lograr lo mismo efecto?? >>>>> >>>>> >>>>> Me pueden dar una ayudar >>>>> >>>>> >>>>> >>>>> Saludos, podrías hacerlo con: >>>> iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 >>>> -j ACCEPT >>>> >>>> -- >>>> Aaron D. >>>> >>>> Gracia Aron y a las personas de la lista, perfecto >>> >>> >> Esas reglas le darán permiso a esas ip a conectarse a servicios en ese >> servidor, para que se puedan conectar a Internet debes habilitar >> enrutamiento, forward y NAT: >> >> IFLAN=eth0 >> IFWAN=eth1 >> permitidos=192.168.101.12-192.168.101.16 >> echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento >> iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o >> $IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN >> iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o >> $IFWAN -j MASQUERADE #NAT >> >> >> PD: Esto a la OSRI no le va a gustar. >> >> >> Saludos >> >> >
Re: Duda en iptables
Creo se esta desviando un poco el tema de la pregunta inicial de igual forma solo para aclarar, si haces un forward de un rango ip privado de tu LAN ej: 10.x.x.x/8, 172.16.x.x/12, 192.168.x.x/16 hacia Internet no vas a tener comunicación porque el proveedor de servicio no aceptara esas ip y aunque las aceptara y la reenviara al destino que has solicitado no recibirás respuesta porque en las tablas de enrutamiento BGP de Internet no existe ruta a esos rangos, así que en algún lugar tienes configurado NAT y no lo sabes o usas un proxy transparente. Saludos On 09/02/17 13:36, Dainel Fdezz wrote: Busca el manual que te recomendé yo lo hago con ip privadas poniendo la ip del firewall como gateway. Saludos El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com <mailto:dixanri...@gmail.com>> escribió: Escribe a la lista no a mi y el forward en este caso no se puede usar porque las ip internas son privadas tiene que hacer NAT. Saludos On 09/02/17 13:24, Dainel Fdezz wrote: Para lo que quieres hacer se utiliza Forward y funciona genial. Busca en internet el manual de iptables de Pello y lo encontrarás todo. Saludos El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com <mailto:dixanri...@gmail.com>> escribió: On 07/02/17 19:15, l...@ida.cu <mailto:l...@ida.cu> wrote: El 07/02/17 a las 19:24, l...@ida.cu <mailto:l...@ida.cu> escribió: Buenas tardes a todos. Es 1ra vez que uso iptables. Tengo varias PC con estas IP y necesito darles acceso full hacia internet # A estas ip le permitimos todo iptables -A INPUT -s 192.168.101.12 -j ACCEPT iptables -A INPUT -s 192.168.101.13 -j ACCEPT iptables -A INPUT -s 192.168.101.14 -j ACCEPT iptables -A INPUT -s 192.168.101.15 -j ACCEPT iptables -A INPUT -s 192.168.101.16 -j ACCEPT Qué regla puedo escribir para que en vez de todas estas líneas establecerlo con un rango de ip y lograr lo mismo efecto?? Me pueden dar una ayudar Saludos, podrías hacerlo con: iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 -j ACCEPT -- Aaron D. Gracia Aron y a las personas de la lista, perfecto Esas reglas le darán permiso a esas ip a conectarse a servicios en ese servidor, para que se puedan conectar a Internet debes habilitar enrutamiento, forward y NAT: IFLAN=eth0 IFWAN=eth1 permitidos=192.168.101.12-192.168.101.16 echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o $IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o $IFWAN -j MASQUERADE #NAT PD: Esto a la OSRI no le va a gustar. Saludos
Re: Duda en iptables
Busca el manual que te recomendé yo lo hago con ip privadas poniendo la ip del firewall como gateway. Saludos El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com> escribió: Escribe a la lista no a mi y el forward en este caso no se puede usar porque las ip internas son privadas tiene que hacer NAT. Saludos On 09/02/17 13:24, Dainel Fdezz wrote: Para lo que quieres hacer se utiliza Forward y funciona genial. Busca en internet el manual de iptables de Pello y lo encontrarás todo. Saludos El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com> escribió: > > > On 07/02/17 19:15, l...@ida.cu wrote: > >> El 07/02/17 a las 19:24, l...@ida.cu escribió: >>> >>>> Buenas tardes a todos. >>>> >>>> Es 1ra vez que uso iptables. >>>> >>>> Tengo varias PC con estas IP y necesito darles acceso full hacia >>>> internet >>>> >>>> # A estas ip le permitimos todo >>>> iptables -A INPUT -s 192.168.101.12 -j ACCEPT >>>> iptables -A INPUT -s 192.168.101.13 -j ACCEPT >>>> iptables -A INPUT -s 192.168.101.14 -j ACCEPT >>>> iptables -A INPUT -s 192.168.101.15 -j ACCEPT >>>> iptables -A INPUT -s 192.168.101.16 -j ACCEPT >>>> >>>> Qué regla puedo escribir para que en vez de todas estas líneas >>>> establecerlo con un rango de ip y lograr lo mismo efecto?? >>>> >>>> >>>> Me pueden dar una ayudar >>>> >>>> >>>> >>>> Saludos, podrías hacerlo con: >>> iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 >>> -j ACCEPT >>> >>> -- >>> Aaron D. >>> >>> Gracia Aron y a las personas de la lista, perfecto >> >> > Esas reglas le darán permiso a esas ip a conectarse a servicios en ese > servidor, para que se puedan conectar a Internet debes habilitar > enrutamiento, forward y NAT: > > IFLAN=eth0 > IFWAN=eth1 > permitidos=192.168.101.12-192.168.101.16 > echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento > iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o $IFWAN > -j ACCEPT #Reenviar Permitidos de LAN a WAN > iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o > $IFWAN -j MASQUERADE #NAT > > > PD: Esto a la OSRI no le va a gustar. > > > Saludos > >
Re: Duda en iptables
On 07/02/17 19:15, l...@ida.cu wrote: El 07/02/17 a las 19:24, l...@ida.cu escribió: Buenas tardes a todos. Es 1ra vez que uso iptables. Tengo varias PC con estas IP y necesito darles acceso full hacia internet # A estas ip le permitimos todo iptables -A INPUT -s 192.168.101.12 -j ACCEPT iptables -A INPUT -s 192.168.101.13 -j ACCEPT iptables -A INPUT -s 192.168.101.14 -j ACCEPT iptables -A INPUT -s 192.168.101.15 -j ACCEPT iptables -A INPUT -s 192.168.101.16 -j ACCEPT Qué regla puedo escribir para que en vez de todas estas líneas establecerlo con un rango de ip y lograr lo mismo efecto?? Me pueden dar una ayudar Saludos, podrías hacerlo con: iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 -j ACCEPT -- Aaron D. Gracia Aron y a las personas de la lista, perfecto Esas reglas le darán permiso a esas ip a conectarse a servicios en ese servidor, para que se puedan conectar a Internet debes habilitar enrutamiento, forward y NAT: IFLAN=eth0 IFWAN=eth1 permitidos=192.168.101.12-192.168.101.16 echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o $IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o $IFWAN -j MASQUERADE #NAT PD: Esto a la OSRI no le va a gustar. Saludos
Re: Duda en iptables
> El 07/02/17 a las 19:24, l...@ida.cu escribió: >> Buenas tardes a todos. >> >> Es 1ra vez que uso iptables. >> >> Tengo varias PC con estas IP y necesito darles acceso full hacia >> internet >> >> # A estas ip le permitimos todo >> iptables -A INPUT -s 192.168.101.12 -j ACCEPT >> iptables -A INPUT -s 192.168.101.13 -j ACCEPT >> iptables -A INPUT -s 192.168.101.14 -j ACCEPT >> iptables -A INPUT -s 192.168.101.15 -j ACCEPT >> iptables -A INPUT -s 192.168.101.16 -j ACCEPT >> >> Qué regla puedo escribir para que en vez de todas estas líneas >> establecerlo con un rango de ip y lograr lo mismo efecto?? >> >> >> Me pueden dar una ayudar >> >> >> > > Saludos, podrías hacerlo con: > iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 > -j ACCEPT > > -- > Aaron D. > Gracia Aron y a las personas de la lista, perfecto
Re: Duda en iptables
El 07/02/17 a las 19:24, l...@ida.cu escribió: Buenas tardes a todos. Es 1ra vez que uso iptables. Tengo varias PC con estas IP y necesito darles acceso full hacia internet # A estas ip le permitimos todo iptables -A INPUT -s 192.168.101.12 -j ACCEPT iptables -A INPUT -s 192.168.101.13 -j ACCEPT iptables -A INPUT -s 192.168.101.14 -j ACCEPT iptables -A INPUT -s 192.168.101.15 -j ACCEPT iptables -A INPUT -s 192.168.101.16 -j ACCEPT Qué regla puedo escribir para que en vez de todas estas líneas establecerlo con un rango de ip y lograr lo mismo efecto?? Me pueden dar una ayudar Saludos, podrías hacerlo con: iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 -j ACCEPT -- Aaron D.
Duda en iptables
Buenas tardes a todos. Es 1ra vez que uso iptables. Tengo varias PC con estas IP y necesito darles acceso full hacia internet # A estas ip le permitimos todo iptables -A INPUT -s 192.168.101.12 -j ACCEPT iptables -A INPUT -s 192.168.101.13 -j ACCEPT iptables -A INPUT -s 192.168.101.14 -j ACCEPT iptables -A INPUT -s 192.168.101.15 -j ACCEPT iptables -A INPUT -s 192.168.101.16 -j ACCEPT Qué regla puedo escribir para que en vez de todas estas líneas establecerlo con un rango de ip y lograr lo mismo efecto?? Me pueden dar una ayudar
Re: duda iptables
El 10/28/2016 04:18 PM, Romero, Fernando escribió: Hola como están, consulto por una reglas de iptables Tengo una regla en la cual denego las conexiones entrantes a todas las ip's menos 2 ip's especificas iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s x.x.x.x -j ACCEPT iptables -A INPUT -s x.x.x.x -j ACCEPT Las "x.x.x.x" son las ip's a las cuales les permito todo Y lo que también quiero hacer es permitirle a todas las ip el acceso al ssh que lo tengo en otro puerto. Es decir que las ip's que especifico pueda usar cualquier puerto y cualquier servicio y que todas las demás solo se les permita el ssh Estuve probando alguna reglas pero no me funcionaron. Gracias y saludos Hola! Para activar solo un puerto (EJ ) para que se acceda desde cualquier IP, solo tenés que hacer: iptables -A INPUT --dport -p tcp -j ACCEPT También deberías aceptar el tráfico establecido y relacionado. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Recorda que la cadena FORWARD es para el tráfico que pasa de una interfaz a otra. Saludos, Zeque
duda iptables
Hola como están, consulto por una reglas de iptables Tengo una regla en la cual denego las conexiones entrantes a todas las ip's menos 2 ip's especificas iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s x.x.x.x -j ACCEPT iptables -A INPUT -s x.x.x.x -j ACCEPT Las "x.x.x.x" son las ip's a las cuales les permito todo Y lo que también quiero hacer es permitirle a todas las ip el acceso al ssh que lo tengo en otro puerto. Es decir que las ip's que especifico pueda usar cualquier puerto y cualquier servicio y que todas las demás solo se les permita el ssh Estuve probando alguna reglas pero no me funcionaron. Gracias y saludos
Re: Duda sobre iptables
El 27/10/16, Frank A Sanches Calzada <frank...@asertec.azcuba.cu> escribió: > El 2016-10-27 07:48, fernando sainz escribió: >> 2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada >> <frank...@asertec.azcuba.cu>: >>> systemctl status firewall.service >>> este es el resultado pero la linia 223 esta en blanco no tiene >>> contenido >>> >>> ● firewall.service - LSB: Firewall configuration >>>Loaded: loaded (/etc/init.d/firewall) >>>Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 >>> CDT; 16s >>> ago >>> Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, >>> status=2) >>> >>> oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: >>> error >>> sintáctico: no se esperaba el final del fichero >>> oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process >>> exited, >>> code=exited status=2 >>> oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall >>> configuration. >>> oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed >>> state. >>> >>> >>> >>> Frank A Sanchez Calzada >>> >>> Especialista B en Ciencias Informáticas >>> >>> División de Talleres Asertec Holguin >>> >>> Jabber: fr...@jabber.asertec.azcuba.cu >>> >>> Telf: (024)426446 >>> >> >> Hola. >> Perdón por la intromisión, pero hay algo que se me escapa. >> (No tengo instalado ningún firewall) >> >> (Entiendo que es la versión estable de Debian, Jessie) >> Hablas de un fichero: /etc/init.d/firewall >> He buscado con apt-file search a ver que paquete instala ese fichero y >> no lo encuentro. >> >> Salvo que se cree dinámicamente, que no creo, no se de donde sale. >> A ver si puedes aclararme esta duda. >> >> Un saludo. >> >> -- >> Fernando. > > Si es un scrip personalizado, debian no lo trae por defecto. > Ahora pruebo moverlo a rc.local y les digo > Saludos Aquí tengo un tutorial de como hacer funcionar y ejecutarse en boot time esas reglas iptables: https://bitsymasbitsya.blogspot.pe/2015/11/router-domestico-con-debian-8-y.html > -- > Frank A Sanchez Calzada > > Especialista B en Ciencias Informáticas > > División de Talleres Asertec Holguin > > Jabber: fr...@jabber.asertec.azcuba.cu > > Telf: (024)426446 > >
Re: Duda sobre iptables
El 2016-10-27 07:48, fernando sainz escribió: 2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada: systemctl status firewall.service este es el resultado pero la linia 223 esta en blanco no tiene contenido ● firewall.service - LSB: Firewall configuration Loaded: loaded (/etc/init.d/firewall) Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s ago Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2) oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error sintáctico: no se esperaba el final del fichero oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, code=exited status=2 oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall configuration. oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state. Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446 Hola. Perdón por la intromisión, pero hay algo que se me escapa. (No tengo instalado ningún firewall) (Entiendo que es la versión estable de Debian, Jessie) Hablas de un fichero: /etc/init.d/firewall He buscado con apt-file search a ver que paquete instala ese fichero y no lo encuentro. Salvo que se cree dinámicamente, que no creo, no se de donde sale. A ver si puedes aclararme esta duda. Un saludo. -- Fernando. Si es un scrip personalizado, debian no lo trae por defecto. Ahora pruebo moverlo a rc.local y les digo Saludos -- Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446
Re: Duda sobre iptables
Hola. El 27-10-2016 a las 10:32 a.m., Pablo JIMÉNEZ escribió: On Thu, Oct 27, 2016 at 07:04:09AM -0500, Rodolfo Edgar wrote: 2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada <frank...@asertec.azcuba.cu>: Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo un problema, el scrip de iptable que tengo me dejo de funcionar me pone lo siguiente: Warning: Unit file of firewall.service changed on disk, 'systemctl daemon-reload' recommended. Job for firewall.service failed. See 'systemctl status firewall.service' and 'journalctl -xn' for details. Saludos Las cosas han cambiado respecto a las versiones anteriores, mi recomendación para el firewall y mas si tienes un script personalizado de iptables es que pongas las reglas y que ejecute desde rc.local, al final de todo cuando inicia el sistema, asi ya no habrá problemas, yo lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a tu script. En realidad, depende. En servidores Debian, hay varias opciones para poder hacerlo: 1. Si bien no hay un iptables.service que venga por omisión, no es muy difícil de configurar. 2. Agregar el script en /etc/rc.local, tal como sugieres. 3. Yo opté por modificar la configuración de la interfaz loopback en /etc/network/interfaces de la siguiente manera: auto lo iface lo inet loopback up /sbin/iptables-restore /etc/iptables/default.conf Saludos. En el mismo sentido que Pablo te indica, aquí hay una forma en la que puedes utilizar tus propios scripts sin mucho problema. http://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/ Saludos -- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los demás.
Re: Duda sobre iptables
On Thu, Oct 27, 2016 at 07:04:09AM -0500, Rodolfo Edgar wrote: > 2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada > <frank...@asertec.azcuba.cu>: > > Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo > > un problema, el scrip de iptable que tengo me dejo de funcionar me pone > > lo siguiente: > > > > Warning: Unit file of firewall.service changed on disk, 'systemctl > > daemon-reload' recommended. > > Job for firewall.service failed. See 'systemctl status firewall.service' > > and 'journalctl -xn' for details. > > > > Saludos > > > > Las cosas han cambiado respecto a las versiones anteriores, mi > recomendación para el firewall y mas si tienes un script personalizado > de iptables es que pongas las reglas y que ejecute desde rc.local, al > final de todo cuando inicia el sistema, asi ya no habrá problemas, yo > lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a > tu script. En realidad, depende. En servidores Debian, hay varias opciones para poder hacerlo: 1. Si bien no hay un iptables.service que venga por omisión, no es muy difícil de configurar. 2. Agregar el script en /etc/rc.local, tal como sugieres. 3. Yo opté por modificar la configuración de la interfaz loopback en /etc/network/interfaces de la siguiente manera: auto lo iface lo inet loopback up /sbin/iptables-restore /etc/iptables/default.conf Saludos. -- Pablo Jiménez
Re: Duda sobre iptables
El 27/10/16 a las 09:48, fernando sainz escribió: 2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada <frank...@asertec.azcuba.cu>: systemctl status firewall.service este es el resultado pero la linia 223 esta en blanco no tiene contenido ● firewall.service - LSB: Firewall configuration Loaded: loaded (/etc/init.d/firewall) Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s ago Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2) oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error sintáctico: no se esperaba el final del fichero oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, code=exited status=2 oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall configuration. oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state. Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446 Hola. Perdón por la intromisión, pero hay algo que se me escapa. (No tengo instalado ningún firewall) (Entiendo que es la versión estable de Debian, Jessie) Hablas de un fichero: /etc/init.d/firewall He buscado con apt-file search a ver que paquete instala ese fichero y no lo encuentro. Salvo que se cree dinámicamente, que no creo, no se de donde sale. A ver si puedes aclararme esta duda. Un saludo. -- Fernando. No, no existe. Supongo que Frank creó un archivo en /etc/init.d a la medida para la configuración de iptables. Eso era perfectamente normal en la época de init, pero desde que systemd entró en escena, las cosas se complicaron. Por esos, se recomienda que el script de configuración de iptables se cargue sobre rc.local, que como dice el propio archivo #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. O sea, es lo último que se ejecuta al inicio del sistema. JAP
Re: Duda sobre iptables
2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada: > systemctl status firewall.service > este es el resultado pero la linia 223 esta en blanco no tiene contenido > > ● firewall.service - LSB: Firewall configuration >Loaded: loaded (/etc/init.d/firewall) >Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s > ago > Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2) > > oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error > sintáctico: no se esperaba el final del fichero > oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, > code=exited status=2 > oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall > configuration. > oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state. > > > > Frank A Sanchez Calzada > > Especialista B en Ciencias Informáticas > > División de Talleres Asertec Holguin > > Jabber: fr...@jabber.asertec.azcuba.cu > > Telf: (024)426446 > Hola. Perdón por la intromisión, pero hay algo que se me escapa. (No tengo instalado ningún firewall) (Entiendo que es la versión estable de Debian, Jessie) Hablas de un fichero: /etc/init.d/firewall He buscado con apt-file search a ver que paquete instala ese fichero y no lo encuentro. Salvo que se cree dinámicamente, que no creo, no se de donde sale. A ver si puedes aclararme esta duda. Un saludo. -- Fernando.
Re: Duda sobre iptables
El 26/10/16 a las 13:34, Frank A Sanches Calzada escribió: systemctl status firewall.service este es el resultado pero la linia 223 esta en blanco no tiene contenido ● firewall.service - LSB: Firewall configuration Loaded: loaded (/etc/init.d/firewall) Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s ago Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2) oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error sintáctico: no se esperaba el final del fichero oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, code=exited status=2 oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall configuration. oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state. Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446 Buen día. Hace unos días tuve algunos problemas con iptables. Siempre, y aún hoy, prefiero las cosas a la antigua, y uso /etc/rc.local para definir las reglas. Pero como las cosas cambian, echale una mirada a esto: https://wiki.debian.org/Firewalls Yo lo que he VISTO usar es ufw y fwbuilder. Ayuda y simplifica mucho. Pero no tiene el gustito de pelarse horas con las líneas de comando. Por otra parte, fijate qué devuelve # iptables -t nat -L porque a veces, pareciera que el demonio no está funcionando, y sí lo hace. JAP
Re: Duda sobre iptables
2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada <frank...@asertec.azcuba.cu>: > Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo > un problema, el scrip de iptable que tengo me dejo de funcionar me pone > lo siguiente: > > Warning: Unit file of firewall.service changed on disk, 'systemctl > daemon-reload' recommended. > Job for firewall.service failed. See 'systemctl status firewall.service' > and 'journalctl -xn' for details. > > Saludos > Las cosas han cambiado respecto a las versiones anteriores, mi recomendación para el firewall y mas si tienes un script personalizado de iptables es que pongas las reglas y que ejecute desde rc.local, al final de todo cuando inicia el sistema, asi ya no habrá problemas, yo lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a tu script. > > -- > Frank A Sanchez Calzada > > Especialista B en Ciencias Informáticas > > División de Talleres Asertec Holguin > > Jabber: fr...@jabber.asertec.azcuba.cu > > Telf: (024)426446 > >
Re: Duda sobre iptables
Claramente te falta leer con atención: "Warning: Unit file of firewall.service changed on disk,* 'systemctl daemon-reload' recommended*. Job for firewall.service failed. See 'systemctl status firewall.service' and 'journalctl -xn' for details.." 2016-10-26 13:34 GMT-03:00 Frank A Sanches Calzada < frank...@asertec.azcuba.cu>: > systemctl status firewall.service > este es el resultado pero la linia 223 esta en blanco no tiene contenido > > ● firewall.service - LSB: Firewall configuration >Loaded: loaded (/etc/init.d/firewall) >Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; > 16s ago > Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, > status=2) > > oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: > error sintáctico: no se esperaba el final del fichero > oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, > code=exited status=2 > oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall > configuration. > oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed > state. > > > Frank A Sanchez Calzada > > Especialista B en Ciencias Informáticas > > División de Talleres Asertec Holguin > > Jabber: fr...@jabber.asertec.azcuba.cu > > Telf: (024)426446 > > -- Ricardo A.Frydman Administrador Aix/Linux - Avantia operadora de tarjetas S.A. Sun Certified System Administrator - Solaris 10 "Aequam memento rebus in arduis servare mentem"
Duda sobre iptables
systemctl status firewall.service este es el resultado pero la linia 223 esta en blanco no tiene contenido ● firewall.service - LSB: Firewall configuration Loaded: loaded (/etc/init.d/firewall) Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s ago Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2) oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error sintáctico: no se esperaba el final del fichero oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited, code=exited status=2 oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall configuration. oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state. Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446
Re: Duda sobre iptables
Y que sucedió luego que hiciste lo que te recomienda ese mensaje? 2016-10-26 12:46 GMT-03:00 Frank A Sanches Calzada < frank...@asertec.azcuba.cu>: > Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo un > problema, el scrip de iptable que tengo me dejo de funcionar me pone lo > siguiente: > > Warning: Unit file of firewall.service changed on disk, 'systemctl > daemon-reload' recommended. > Job for firewall.service failed. See 'systemctl status firewall.service' > and 'journalctl -xn' for details. > > Saludos > > > -- > Frank A Sanchez Calzada > > Especialista B en Ciencias Informáticas > > División de Talleres Asertec Holguin > > Jabber: fr...@jabber.asertec.azcuba.cu > > Telf: (024)426446 > > -- Ricardo A.Frydman Administrador Aix/Linux - Avantia operadora de tarjetas S.A. Sun Certified System Administrator - Solaris 10 "Aequam memento rebus in arduis servare mentem"
Duda sobre iptables
Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo un problema, el scrip de iptable que tengo me dejo de funcionar me pone lo siguiente: Warning: Unit file of firewall.service changed on disk, 'systemctl daemon-reload' recommended. Job for firewall.service failed. See 'systemctl status firewall.service' and 'journalctl -xn' for details. Saludos -- Frank A Sanchez Calzada Especialista B en Ciencias Informáticas División de Talleres Asertec Holguin Jabber: fr...@jabber.asertec.azcuba.cu Telf: (024)426446
Re: systemd e iptables [SOLUCIONADO]
El 21/10/16 a las 12:30, JAP escribió: El 21/10/16 a las 12:05, Jose Julian Buda escribió: iptables -t nat -L Quizas muestre algo. Saludos Julian Muestra mucho :( # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.0.0/24 anywhere Digamos que lo que sabía de iptables lo voy a tener que reveer. Entiendo que está tomando las reglas sin problemas, y el tonto he sido yo, y tengo el problema de conexión por otro lado JAP ¡SOY EL REY DE LOS IDIOTAS! El problema no es iptables. Me olvidé de instalar isc-dhcp-server... Por eso no tenía acceso a la red... No era culpa de iptables... Gracias a todos JAP
Re: systemd e iptables
El 21/10/16 a las 12:16, JAP escribió: > El 21/10/16 a las 11:32, fernando sainz escribió: >> Mira esto también: >> >> http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot >> > > No, el problema no es ese. > rc.local funciona bien, se ejecuta la inicio sin problemas. > El tema es que iptables no toma las reglas ni aunque se las indique a > en forma directa por consola. > > # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE > > # iptables -L > Chain INPUT (policy ACCEPT) > target prot opt source destination > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > JAP > > El problema que tenés es que agregas la regla en la tabla nat pero no la visualizas porque estas leyendo las reglas de otra tabla. Si leyeses las reglas de la tabla nat (como te especificó Jose), verias la regla. Eso se soluciona haciéndole caso a las respuestas y sobre todo con RTFM. Saludos, Javier. -- El matrimo es tan bueno que la gente se muere por casarse con mujeres como Nazarena Velez, Margerie Orbin, Jordania Linn Graham, Katherine Knight, Stacey Castor, etc.
Re: systemd e iptables
El 21/10/16 a las 12:05, Jose Julian Buda escribió: iptables -t nat -L Quizas muestre algo. Saludos Julian Muestra mucho :( # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.0.0/24 anywhere Tengo que reveer lo poco que sé de iptables. JAP
Re: systemd e iptables
El 21/10/16 a las 12:05, Jose Julian Buda escribió: iptables -t nat -L Quizas muestre algo. Saludos Julian Muestra mucho :( # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.0.0/24 anywhere Digamos que lo que sabía de iptables lo voy a tener que reveer. Entiendo que está tomando las reglas sin problemas, y el tonto he sido yo, y tengo el problema de conexión por otro lado JAP
Re: systemd e iptables
El día 21 de octubre de 2016, 10:33, JAP <javier.debian.bb...@gmail.com> escribió: > Buenos días. > > systemd y la madre que lo programó. > > Sigo sufriendo problemas en mi migración de equipo. > Ahora no sé por qué diablos a iptables se le da por no arrancar. > No hay forma de iniciar el contrafuegos. > No encuentro ninguna solución en la red, razón por la que si alguien tiene > una idea, es bienvenida. > > # uname -a > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 > GNU/Linux > > # systemctl start iptables.service > Failed to start iptables.service: Unit iptables.service failed to load: No > such file or directory. > > > # systemctl status iptables > ● iptables.service >Loaded: not-found (Reason: No such file or directory) >Active: inactive (dead) > Estás con el último kernel? Haz probado con otro kernel? Revisa la wiki de arch, Tal vez te de luces. https://wiki.archlinux.org/index.php/iptables Saludos. -- usuario linux #274354 normas de la lista: http://wiki.debian.org/es/NormasLista como hacer preguntas inteligentes: http://www.sindominio.net/ayuda/preguntas-inteligentes.html
Re: systemd e iptables
On Fri, Oct 21, 2016 at 11:42:53AM -0300, JAP wrote: > [...] > El script era una línea en /etc/rc.local. > > Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO. > > Si cargo la regla a mano, y luego listo las reglas activas, me aparece que > iptables está vacío, como se puede ver acá: > > # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE > > # iptables -L > Chain INPUT (policy ACCEPT) > target prot opt source destination > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > Como ves, cargo la regla en la línea de comando, y cuando listo las reglas > activas, no me aparece ninguna. Eso es por una sola razón: no estás listando la tabla de reglas NAT. El manual de iptables(8) lo dice claramente: The tables are as follows: filter: This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets). nat: This table is consulted when a packet that creates a new connection is encountered. It consists of three built- ins: PREROUTING (for altering packets as soon as they come in), OUTPUT (for altering locally-generated packets before routing), and POSTROUTING (for altering packets as they are about to go out). IPv6 NAT support is avail‐ able since kernel 3.7. Si quieres ver la regla de NAT que agregaste, debieras ejecutar: # iptables -t nat -L Saludos. -- Pablo Jiménez
Re: systemd e iptables
El 21/10/16 a las 11:32, fernando sainz escribió: Mira esto también: http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot No, el problema no es ese. rc.local funciona bien, se ejecuta la inicio sin problemas. El tema es que iptables no toma las reglas ni aunque se las indique a en forma directa por consola. # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination JAP
Re: systemd e iptables
On 21/10/16 11:42, JAP wrote: El 21/10/16 a las 11:18, del tonos escribió: Asi es como te dice Fernando: Tenias un script ademas llamado iptables al cual llamabas desde el sysinit? Quizás tengas que convertirlo entonces: https://fedoramagazine.org/systemd-converting-sysvinit-scripts/ <--Va, no se enojen :), solo es ejemplo! http://0pointer.de/blog/projects/systemd-for-admins-3.html Saludos El 21 de octubre de 2016, 08:58, fernando sainz<fernandojose.sa...@gmail.com <mailto:fernandojose.sa...@gmail.com>> escribió: El día 21 de octubre de 2016, 15:33, JAP <javier.debian.bb...@gmail.com <mailto:javier.debian.bb...@gmail.com>> escribió: > Buenos días. > > systemd y la madre que lo programó. > > Sigo sufriendo problemas en mi migración de equipo. > Ahora no sé por qué diablos a iptables se le da por no arrancar. > No hay forma de iniciar el contrafuegos. > No encuentro ninguna solución en la red, razón por la que si alguien tiene > una idea, es bienvenida. > > # uname -a > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 > GNU/Linux > > # systemctl start iptables.service > Failed to start iptables.service: Unit iptables.service failed to load: No > such file or directory. > > > # systemctl status iptables > ● iptables.service > Loaded: not-found (Reason: No such file or directory) > Active: inactive (dead) > > > Gracias a todos > > JAP > Si no recuerdo mal iptables es parte del kernel, no un servicio. https://es.wikipedia.org/wiki/Netfilter/iptables <https://es.wikipedia.org/wiki/Netfilter/iptables> https://wiki.debian.org/es/iptables <https://wiki.debian.org/es/iptables> S2. El script era una línea en /etc/rc.local. Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO. Si cargo la regla a mano, y luego listo las reglas activas, me aparece que iptables está vacío, como se puede ver acá: # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Como ves, cargo la regla en la línea de comando, y cuando listo las reglas activas, no me aparece ninguna. JAP iptables -t nat -L Quizas muestre algo. Saludos Julian
Re: systemd e iptables
El 21/10/16 a las 11:18, del tonos escribió: Asi es como te dice Fernando: Tenias un script ademas llamado iptables al cual llamabas desde el sysinit? Quizás tengas que convertirlo entonces: https://fedoramagazine.org/systemd-converting-sysvinit-scripts/ <--Va, no se enojen :), solo es ejemplo! http://0pointer.de/blog/projects/systemd-for-admins-3.html Saludos El 21 de octubre de 2016, 08:58, fernando sainz<fernandojose.sa...@gmail.com <mailto:fernandojose.sa...@gmail.com>> escribió: El día 21 de octubre de 2016, 15:33, JAP <javier.debian.bb...@gmail.com <mailto:javier.debian.bb...@gmail.com>> escribió: > Buenos días. > > systemd y la madre que lo programó. > > Sigo sufriendo problemas en mi migración de equipo. > Ahora no sé por qué diablos a iptables se le da por no arrancar. > No hay forma de iniciar el contrafuegos. > No encuentro ninguna solución en la red, razón por la que si alguien tiene > una idea, es bienvenida. > > # uname -a > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 > GNU/Linux > > # systemctl start iptables.service > Failed to start iptables.service: Unit iptables.service failed to load: No > such file or directory. > > > # systemctl status iptables > ● iptables.service >Loaded: not-found (Reason: No such file or directory) >Active: inactive (dead) > > > Gracias a todos > > JAP > Si no recuerdo mal iptables es parte del kernel, no un servicio. https://es.wikipedia.org/wiki/Netfilter/iptables <https://es.wikipedia.org/wiki/Netfilter/iptables> https://wiki.debian.org/es/iptables <https://wiki.debian.org/es/iptables> S2. El script era una línea en /etc/rc.local. Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO. Si cargo la regla a mano, y luego listo las reglas activas, me aparece que iptables está vacío, como se puede ver acá: # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Como ves, cargo la regla en la línea de comando, y cuando listo las reglas activas, no me aparece ninguna. JAP
Re: systemd e iptables
El día 21 de octubre de 2016, 15:58, fernando sainz <fernandojose.sa...@gmail.com> escribió: > El día 21 de octubre de 2016, 15:33, JAP > <javier.debian.bb...@gmail.com> escribió: >> Buenos días. >> >> systemd y la madre que lo programó. >> >> Sigo sufriendo problemas en mi migración de equipo. >> Ahora no sé por qué diablos a iptables se le da por no arrancar. >> No hay forma de iniciar el contrafuegos. >> No encuentro ninguna solución en la red, razón por la que si alguien tiene >> una idea, es bienvenida. >> >> # uname -a >> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 >> GNU/Linux >> >> # systemctl start iptables.service >> Failed to start iptables.service: Unit iptables.service failed to load: No >> such file or directory. >> >> >> # systemctl status iptables >> ● iptables.service >> Loaded: not-found (Reason: No such file or directory) >>Active: inactive (dead) >> >> >> Gracias a todos >> >> JAP >> > > > Si no recuerdo mal iptables es parte del kernel, no un servicio. > > https://es.wikipedia.org/wiki/Netfilter/iptables > https://wiki.debian.org/es/iptables > > > S2. Mira esto también: http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot
Re: systemd e iptables
El 21/10/16 a las 10:58, fernando sainz escribió: El día 21 de octubre de 2016, 15:33, JAP <javier.debian.bb...@gmail.com> escribió: Buenos días. systemd y la madre que lo programó. Sigo sufriendo problemas en mi migración de equipo. Ahora no sé por qué diablos a iptables se le da por no arrancar. No hay forma de iniciar el contrafuegos. No encuentro ninguna solución en la red, razón por la que si alguien tiene una idea, es bienvenida. # uname -a Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 GNU/Linux # systemctl start iptables.service Failed to start iptables.service: Unit iptables.service failed to load: No such file or directory. # systemctl status iptables ● iptables.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead) Gracias a todos JAP Si no recuerdo mal iptables es parte del kernel, no un servicio. https://es.wikipedia.org/wiki/Netfilter/iptables https://wiki.debian.org/es/iptables S2. Corrijo mi error entonces. Por qué cuernos no funciona, si hasta la semana pasada, en otra instalación en otro equipo, funcionaba. # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination # ifconfig eth1 Link encap:Ethernet HWaddr a0:f3:c1:01:da:92 inet addr:192.168.2.52 Bcast:192.168.2.255 Mask:255.255.255.0 wlan0 Link encap:Ethernet HWaddr 00:87:30:23:0e:a8 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
Re: systemd e iptables
Asi es como te dice Fernando: Tenias un script ademas llamado iptables al cual llamabas desde el sysinit? Quizás tengas que convertirlo entonces: https://fedoramagazine.org/systemd-converting-sysvinit-scripts/ <--Va, no se enojen :), solo es ejemplo! http://0pointer.de/blog/projects/systemd-for-admins-3.html Saludos El 21 de octubre de 2016, 08:58, fernando sainz<fernandojose.sa...@gmail.com > escribió: > El día 21 de octubre de 2016, 15:33, JAP > <javier.debian.bb...@gmail.com> escribió: > > Buenos días. > > > > systemd y la madre que lo programó. > > > > Sigo sufriendo problemas en mi migración de equipo. > > Ahora no sé por qué diablos a iptables se le da por no arrancar. > > No hay forma de iniciar el contrafuegos. > > No encuentro ninguna solución en la red, razón por la que si alguien > tiene > > una idea, es bienvenida. > > > > # uname -a > > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) > x86_64 > > GNU/Linux > > > > # systemctl start iptables.service > > Failed to start iptables.service: Unit iptables.service failed to load: > No > > such file or directory. > > > > > > # systemctl status iptables > > ● iptables.service > >Loaded: not-found (Reason: No such file or directory) > >Active: inactive (dead) > > > > > > Gracias a todos > > > > JAP > > > > > Si no recuerdo mal iptables es parte del kernel, no un servicio. > > https://es.wikipedia.org/wiki/Netfilter/iptables > https://wiki.debian.org/es/iptables > > > S2. > >
Re: systemd e iptables
El día 21 de octubre de 2016, 15:33, JAP <javier.debian.bb...@gmail.com> escribió: > Buenos días. > > systemd y la madre que lo programó. > > Sigo sufriendo problemas en mi migración de equipo. > Ahora no sé por qué diablos a iptables se le da por no arrancar. > No hay forma de iniciar el contrafuegos. > No encuentro ninguna solución en la red, razón por la que si alguien tiene > una idea, es bienvenida. > > # uname -a > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 > GNU/Linux > > # systemctl start iptables.service > Failed to start iptables.service: Unit iptables.service failed to load: No > such file or directory. > > > # systemctl status iptables > ● iptables.service >Loaded: not-found (Reason: No such file or directory) >Active: inactive (dead) > > > Gracias a todos > > JAP > Si no recuerdo mal iptables es parte del kernel, no un servicio. https://es.wikipedia.org/wiki/Netfilter/iptables https://wiki.debian.org/es/iptables S2.
systemd e iptables
Buenos días. systemd y la madre que lo programó. Sigo sufriendo problemas en mi migración de equipo. Ahora no sé por qué diablos a iptables se le da por no arrancar. No hay forma de iniciar el contrafuegos. No encuentro ninguna solución en la red, razón por la que si alguien tiene una idea, es bienvenida. # uname -a Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64 GNU/Linux # systemctl start iptables.service Failed to start iptables.service: Unit iptables.service failed to load: No such file or directory. # systemctl status iptables ● iptables.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead) Gracias a todos JAP
Re: Consulta iptables
On Thu, Oct 20, 2016 at 08:04:36PM +, Romero, Fernando wrote: > > En el cliente no me carga el modulo pero tampoco me da error > > [root@localhost ~]# lsmod | grep nfs > [root@localhost ~]# modprobe nfs > [root@localhost ~]# Hmmm... ¿Tienes instalado el paquete nfs-common en el cliente? Si nfs-common está instalado en el cliente, ¿se encuentra activo el servicio nfs-common? Esto último lo puedes comprobar con: # systemctl status nfs-common o # service nfs-common status Saludos. -- Pablo Jiménez