Re: Ayuda con un puerto
2009/9/15 Miguel Angel Amador L : > 2009/9/15 Juan Andres Ramirez : >> 2009/9/14 Sebastián Veloso Varas : >>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < >>> jandresa...@gmail.com> escribió: >>> Estimados : Tengo un firewall controlando la lan con iptables. Resulta que tengo la politica de drop, habriendo los puertos que necesito, y esto lo tengo funcionando hace unas semanas con unos poco usuarios, y funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, donde también estan los usuarios con la puerta 2, que seria la del firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único problema que tengo es el acceso entre computadores desde la 100 a la subred 101. Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde la red 101 a la 100, pero no al revez, es decir si trato de entrar a un computador en la subred 101 desde la red 100 no puedo. >>> >>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) >> >> Tengo mis dudas aca, porque tengo en drop la politicas: >> >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -P FORWARD DROP >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -t nat -P PREROUTING ACCEPT >> iptables -t nat -P POSTROUTING ACCEPT >> >> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y >> OUTPUT, puedo ver la subred 101 desde la red 100. >> >> Mas abajo pego las reglas completas. >> >>> >>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc desde la red 100 a la subred 101 sin problemas. Entonces debo tener algun puerto cerrado y no se cual es. >>> >>> DROP por defecto y si quieres ver redes compartidas, usas los puertos >>> 137,138 UDP y 139,445 TCP. >>> Adjunto archivo txt con las reglas, por si alguien se interesa en mirarlas. Pero como dije antes asi como esta funciona bien para lo que quiero, solo me falta ese pequeño detalle. >>> El adjunto no llego a la listatrata de hacer copy paste si es posible. >> >> ## FLUSH de reglas >> iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> ## Establecemos politica por defecto >> iptables -P INPUT DROP >> iptables -P OUTPUT DROP >> iptables -P FORWARD DROP >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -t nat -P PREROUTING ACCEPT >> iptables -t nat -P POSTROUTING ACCEPT >> >> #ACCESO AL LOCALHOST >> iptables -A INPUT -i lo -j ACCEPT >> iptables -A OUTPUT -o lo -j ACCEPT >> >> #COMUNICACION DNS AL LOCALHOST >> iptables -A INPUT -p udp --dport 53 -j ACCEPT >> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >> >> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL >> iptables -A INPUT -i eth1 -j ACCEPT >> >> #CONSULTAS DNS >> iptables -A FORWARD -p udp --dport 53 -j ACCEPT >> >> # ACCESO SSH DE MI IP >> iptables -A INPUT -s 192.168.100.253 -j ACCEPT >> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT >> >> #ACCESO A WEB >> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT >> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT >> # Permitimos que la maquina pueda salir a la web >> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT >> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> # Ya tambien a webs seguras >> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state >> RELATED,ESTABLISHED -j ACCEPT >> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT >> >> #ACCESO A MAIL >> iptables -A FORWARD -p tcp --dport 25 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 110 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 143 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT >> >> #ACCESO A SNMP >> iptables -A FORWARD -p udp --dport 169 -j ACCEPT >> >> #ACCESO A FTP >> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT >> >> #ACCESO A TELNET >> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT >> >> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS >> iptables -A FORWARD -p udp --dport 137 -j ACCEPT >> iptables -A FORWARD -p udp --dport 138 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT >> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT >> iptables -A FORWARD -p udp --dport 135 -j ACCEPT >> >> #DEJAMOS PASAR LOS PING >> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT >> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT >> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT >
Re: Ayuda con un puerto
2009/9/15 Juan Andres Ramirez : > 2009/9/14 Sebastián Veloso Varas : >> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < >> jandresa...@gmail.com> escribió: >> >>> Estimados : >>> Tengo un firewall controlando la lan con iptables. Resulta que >>> tengo la politica de drop, habriendo los puertos que necesito, y esto >>> lo tengo funcionando hace unas semanas con unos poco usuarios, y >>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >>> donde también estan los usuarios con la puerta 2, que seria la del >>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >>> problema que tengo es el acceso entre computadores desde la 100 a la >>> subred 101. >>> >>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >>> un computador en la subred 101 desde la red 100 no puedo. >>> >> >> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) > > Tengo mis dudas aca, porque tengo en drop la politicas: > > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y > OUTPUT, puedo ver la subred 101 desde la red 100. > > Mas abajo pego las reglas completas. > >> >> >>> >>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >>> algun puerto cerrado y no se cual es. >>> >> >> DROP por defecto y si quieres ver redes compartidas, usas los puertos >> 137,138 UDP y 139,445 TCP. >> >>> >>> Adjunto archivo txt con las reglas, por si alguien se interesa en >>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >>> quiero, solo me falta ese pequeño detalle. >>> >>> >> El adjunto no llego a la listatrata de hacer copy paste si es posible. > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > #ACCESO AL LOCALHOST > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > #COMUNICACION DNS AL LOCALHOST > iptables -A INPUT -p udp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > > #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL > iptables -A INPUT -i eth1 -j ACCEPT > > #CONSULTAS DNS > iptables -A FORWARD -p udp --dport 53 -j ACCEPT > > # ACCESO SSH DE MI IP > iptables -A INPUT -s 192.168.100.253 -j ACCEPT > iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT > > #ACCESO A WEB > iptables -A FORWARD -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -p tcp --dport 443 -j ACCEPT > iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT > # Permitimos que la maquina pueda salir a la web > iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > # Ya tambien a webs seguras > iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state > RELATED,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT > > #ACCESO A MAIL > iptables -A FORWARD -p tcp --dport 25 -j ACCEPT > iptables -A FORWARD -p tcp --dport 110 -j ACCEPT > iptables -A FORWARD -p tcp --dport 143 -j ACCEPT > iptables -A FORWARD -p tcp --dport 995 -j ACCEPT > iptables -A FORWARD -p tcp --dport 465 -j ACCEPT > > #ACCESO A SNMP > iptables -A FORWARD -p udp --dport 169 -j ACCEPT > > #ACCESO A FTP > iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT > > #ACCESO A TELNET > iptables -A FORWARD -p tcp --dport 23 -j ACCEPT > > #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS > iptables -A FORWARD -p udp --dport 137 -j ACCEPT > iptables -A FORWARD -p udp --dport 138 -j ACCEPT > iptables -A FORWARD -p tcp --dport 139 -j ACCEPT > iptables -A FORWARD -p tcp --dport 445 -j ACCEPT > iptables -A FORWARD -p tcp --dport 135 -j ACCEPT > iptables -A FORWARD -p udp --dport 135 -j ACCEPT > > #DEJAMOS PASAR LOS PING > iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT > iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT > iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT > > #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) > iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s > 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT -
Re: Ayuda con un puerto
2009/9/14 Sebastián Veloso Varas : > El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < > jandresa...@gmail.com> escribió: > >> Estimados : >> Tengo un firewall controlando la lan con iptables. Resulta que >> tengo la politica de drop, habriendo los puertos que necesito, y esto >> lo tengo funcionando hace unas semanas con unos poco usuarios, y >> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >> donde también estan los usuarios con la puerta 2, que seria la del >> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >> problema que tengo es el acceso entre computadores desde la 100 a la >> subred 101. >> >> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >> un computador en la subred 101 desde la red 100 no puedo. >> > > ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT) Tengo mis dudas aca, porque tengo en drop la politicas: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y OUTPUT, puedo ver la subred 101 desde la red 100. Mas abajo pego las reglas completas. > > >> >> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >> algun puerto cerrado y no se cual es. >> > > DROP por defecto y si quieres ver redes compartidas, usas los puertos > 137,138 UDP y 139,445 TCP. > >> >> Adjunto archivo txt con las reglas, por si alguien se interesa en >> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >> quiero, solo me falta ese pequeño detalle. >> >> > El adjunto no llego a la listatrata de hacer copy paste si es posible. ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT #ACCESO AL LOCALHOST iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #COMUNICACION DNS AL LOCALHOST iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL iptables -A INPUT -i eth1 -j ACCEPT #CONSULTAS DNS iptables -A FORWARD -p udp --dport 53 -j ACCEPT # ACCESO SSH DE MI IP iptables -A INPUT -s 192.168.100.253 -j ACCEPT iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT #ACCESO A WEB iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # Permitimos que la maquina pueda salir a la web iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT # Ya tambien a webs seguras iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT #ACCESO A MAIL iptables -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -p tcp --dport 995 -j ACCEPT iptables -A FORWARD -p tcp --dport 465 -j ACCEPT #ACCESO A SNMP iptables -A FORWARD -p udp --dport 169 -j ACCEPT #ACCESO A FTP iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT #ACCESO A TELNET iptables -A FORWARD -p tcp --dport 23 -j ACCEPT #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS iptables -A FORWARD -p udp --dport 137 -j ACCEPT iptables -A FORWARD -p udp --dport 138 -j ACCEPT iptables -A FORWARD -p tcp --dport 139 -j ACCEPT iptables -A FORWARD -p tcp --dport 445 -j ACCEPT iptables -A FORWARD -p tcp --dport 135 -j ACCEPT iptables -A FORWARD -p udp --dport 135 -j ACCEPT #DEJAMOS PASAR LOS PING iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 # Con esto permitimos hacer forward de paquetes en el firewall, osea # que otras maquinas puedan salir a traves