Re: NAT de NetBios con iptables
2009/12/14 xve x...@zonaweb.info: Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve NetBios no es un protocolo, es un sistema de comunicaciones que funciona sobre TCP/IP, y _no_ puede ser enrutado. Lo mejor seria definir un DNS para toda la red. # José Andrés Viana Network and Technology Specialist # - ---Debian GNU/Linux - Lenny-Linux Counter #197023 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: NAT de NetBios con iptables
Hola Carlos, te agradezco mucho tus comentarios, de verdad muy agradecido. he probado exactamente lo que me comentas, y sigo igual, no me hace el del NetBios. Si pongo la ip del servidor funciona a la perfeccion, pero con el nombre de la maquina no funciona. Si conecto el pc directamente a la red funciona perfectamente Ya no se que mas mirar... Un saludo Carlos, y muy agradecido. El Tuesday 15 December 2009, Carlos Valderrama escribió: Hola Mirando tu script estas con las reglas en ACCEPT, prueba a usar estas reglas a ver y me comentas, No olvides de habilitar en bit en 1 para el forwarding vi /etc/sysctl.conf net.ipv4.conf.default.forwarding = 1 grabas y sales y escribes sysctl -p for u in INPUT FORWARD OUTPUT; do iptables -A $u -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -N PERMISOS-SSH iptables -N PERMISOS-DNS iptables -N PERMISOS-SAMBA iptables -A INPUT -p tcp -m tcp --dport 22 -j PERMISOS-SSH iptables -A FORWARD -p udp -m udp --dport 53 -j PERMISOS-DNS iptables -A INPUT -p tcp -m tcp --dport 137:139 -j PERMISOS-SAMBA iptables -A INPUT -p udp -m udp --dport 137:139 -J PERMISOS-SAMBA iptables -A PERMISOS-SSH -d 192.168.2.215 -p tcp -m tcp --sport 1024: --dport 22 -m state --state NEW -m comment --comment SSH INPUT -j ACCEPT iptables -A PERMISOS-DNS -p udp -m udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p tcp -m tcp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p udp -m udp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT dentro de tu red me imagino que debes de tener un servidor DNS también, como está configurado, estás haciendo los PTR correctamente. Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: martes, 15 de diciembre de 2009 06:35 a.m. Para: Carlos Valderrama CC: debian-user-spanish@lists.debian.org Asunto: Re: NAT de NetBios con iptables Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT # Empezamos a filtrar # ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # relacionado o establecido y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan a esta maquina /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # denegamos el acceso desde la wifi a esta maquina /sbin/iptables -A INPUT -i $1 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o $1 -p tcp --sport 22 -j ACCEPT ##samba iptables -t filter -A INPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p
Re: NAT de NetBios con iptables
xve escribió: Hola Carlos, te agradezco mucho tus comentarios, de verdad muy agradecido. he probado exactamente lo que me comentas, y sigo igual, no me hace el del NetBios. Si pongo la ip del servidor funciona a la perfeccion, pero con el nombre de la maquina no funciona. Si conecto el pc directamente a la red funciona perfectamente Ya no se que mas mirar... Un saludo Carlos, y muy agradecido. El Tuesday 15 December 2009, Carlos Valderrama escribió: Hola Mirando tu script estas con las reglas en ACCEPT, prueba a usar estas reglas a ver y me comentas, No olvides de habilitar en bit en 1 para el forwarding vi /etc/sysctl.conf net.ipv4.conf.default.forwarding = 1 grabas y sales y escribes sysctl -p for u in INPUT FORWARD OUTPUT; do iptables -A $u -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -N PERMISOS-SSH iptables -N PERMISOS-DNS iptables -N PERMISOS-SAMBA iptables -A INPUT -p tcp -m tcp --dport 22 -j PERMISOS-SSH iptables -A FORWARD -p udp -m udp --dport 53 -j PERMISOS-DNS iptables -A INPUT -p tcp -m tcp --dport 137:139 -j PERMISOS-SAMBA iptables -A INPUT -p udp -m udp --dport 137:139 -J PERMISOS-SAMBA iptables -A PERMISOS-SSH -d 192.168.2.215 -p tcp -m tcp --sport 1024: --dport 22 -m state --state NEW -m comment --comment SSH INPUT -j ACCEPT iptables -A PERMISOS-DNS -p udp -m udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p tcp -m tcp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p udp -m udp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT dentro de tu red me imagino que debes de tener un servidor DNS también, como está configurado, estás haciendo los PTR correctamente. Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: martes, 15 de diciembre de 2009 06:35 a.m. Para: Carlos Valderrama CC: debian-user-spanish@lists.debian.org Asunto: Re: NAT de NetBios con iptables Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT # Empezamos a filtrar # ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # relacionado o establecido y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan a esta maquina /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # denegamos el acceso desde la wifi a esta maquina /sbin/iptables -A INPUT -i $1 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o $1 -p tcp --sport 22 -j ACCEPT ##samba iptables -t filter -A INPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 137:139 -j
Fwd: NAT de NetBios con iptables
¿Has considerado la posibilidad de confugurar un servidor DNS?. En mi caso tengo configurado (bajo Windows 2003), un servidor DNS que se encarga de resolver las peticiones de los clientes a los recursos de red. De esta forma no tienes problemas para comunicar distintas redes. ups... perdon por el privado El 17 de diciembre de 2009 12:53, xve x...@zonaweb.info escribió: Hola Carlos, te agradezco mucho tus comentarios, de verdad muy agradecido. he probado exactamente lo que me comentas, y sigo igual, no me hace el del NetBios. Si pongo la ip del servidor funciona a la perfeccion, pero con el nombre de la maquina no funciona. Si conecto el pc directamente a la red funciona perfectamente Ya no se que mas mirar... Un saludo Carlos, y muy agradecido. El Tuesday 15 December 2009, Carlos Valderrama escribió: Hola Mirando tu script estas con las reglas en ACCEPT, prueba a usar estas reglas a ver y me comentas, No olvides de habilitar en bit en 1 para el forwarding vi /etc/sysctl.conf net.ipv4.conf.default.forwarding = 1 grabas y sales y escribes sysctl -p for u in INPUT FORWARD OUTPUT; do iptables -A $u -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -N PERMISOS-SSH iptables -N PERMISOS-DNS iptables -N PERMISOS-SAMBA iptables -A INPUT -p tcp -m tcp --dport 22 -j PERMISOS-SSH iptables -A FORWARD -p udp -m udp --dport 53 -j PERMISOS-DNS iptables -A INPUT -p tcp -m tcp --dport 137:139 -j PERMISOS-SAMBA iptables -A INPUT -p udp -m udp --dport 137:139 -J PERMISOS-SAMBA iptables -A PERMISOS-SSH -d 192.168.2.215 -p tcp -m tcp --sport 1024: --dport 22 -m state --state NEW -m comment --comment SSH INPUT -j ACCEPT iptables -A PERMISOS-DNS -p udp -m udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p tcp -m tcp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p udp -m udp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT dentro de tu red me imagino que debes de tener un servidor DNS también, como está configurado, estás haciendo los PTR correctamente. Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: martes, 15 de diciembre de 2009 06:35 a.m. Para: Carlos Valderrama CC: debian-user-spanish@lists.debian.org Asunto: Re: NAT de NetBios con iptables Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT # Empezamos a filtrar # ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # relacionado o establecido y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan
Re: NAT de NetBios con iptables
Hola xve, El problema que tiene Netbios es que usa petciones Broadcast y ese tipo de peticiones no pasan por el router, además no usa direcciones IP, sólo nombres. Yo ese tema lo he solucionado siempre montando una VPN entre esa red Local y la que quieres conectar. Saludos 2009/12/14 xve x...@zonaweb.info Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: NAT de NetBios con iptables
Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT # Empezamos a filtrar # ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # relacionado o establecido y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan a esta maquina /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # denegamos el acceso desde la wifi a esta maquina /sbin/iptables -A INPUT -i $1 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o $1 -p tcp --sport 22 -j ACCEPT ##samba iptables -t filter -A INPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 445 -j ACCEPT iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp -- sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat #y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT ## ping hacia el servidor habilitado /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -t nat -A PREROUTING -m mac --mac-source 00:15:C5:B5:d3:6c -p TCP --dport 1:65000 -j ACCEPT ##habilitamos el postrouting en las dos tarjetas /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ## permitimos hacer forward de paquetes en el firewall echo 1 /proc/sys/net/ipv4/ip_forward te agradezco mucho tu ayuda Carlos. Cualquier cosa... Un saludo -Mensaje Original- De: Carlos Valderrama cva...@perucam.com Para: 'xve' x...@zonaweb.info, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables - Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d
Re: NAT de NetBios con iptables $1=eth1
Se me olvido comentar, que la variable $1 equivale a la tarjeta de red eth1. Un saludo -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: NAT de NetBios con iptables
Para: 'xve' x...@zonaweb.info, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables - Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. Para: debian-user-spanish@lists.debian.org Asunto: NAT de NetBios con iptables Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Roberto Barrrueto | Técnico en Administración de Redes Computacionales | rbarru...@gmail.com | Concepción - Chile
Re: NAT de NetBios con iptables
--state NEW -j ACCEPT ## ping hacia el servidor habilitado /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -t nat -A PREROUTING -m mac --mac-source 00:15:C5:B5:d3:6c -p TCP --dport 1:65000 -j ACCEPT ##habilitamos el postrouting en las dos tarjetas /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ## permitimos hacer forward de paquetes en el firewall echo 1 /proc/sys/net/ipv4/ip_forward te agradezco mucho tu ayuda Carlos. Cualquier cosa... Un saludo -Mensaje Original- De: Carlos Valderrama cva...@perucam.com Para: 'xve' x...@zonaweb.info, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables - Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. Para: debian-user-spanish@lists.debian.org Asunto: NAT de NetBios con iptables Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: NAT de NetBios con iptables
--to-destination 192.168.0.100 -t nat #y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT ## ping hacia el servidor habilitado /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -t nat -A PREROUTING -m mac --mac-source 00:15:C5:B5:d3:6c -p TCP --dport 1:65000 -j ACCEPT ##habilitamos el postrouting en las dos tarjetas /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ## permitimos hacer forward de paquetes en el firewall echo 1 /proc/sys/net/ipv4/ip_forward te agradezco mucho tu ayuda Carlos. Cualquier cosa... Un saludo -Mensaje Original- De: Carlos Valderrama cva...@perucam.com Para: 'xve' x...@zonaweb.info, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables - Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. Para: debian-user-spanish@lists.debian.org Asunto: NAT de NetBios con iptables Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Roberto Barrrueto | Técnico en Administración de Redes Computacionales | rbarru...@gmail.com | Concepción - Chile
Re: NAT de NetBios con iptables
tcp --dport 445 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 445 -j ACCEPT iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp -- sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat #y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT ## ping hacia el servidor habilitado /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -t nat -A PREROUTING -m mac --mac-source 00:15:C5:B5:d3:6c -p TCP --dport 1:65000 -j ACCEPT ##habilitamos el postrouting en las dos tarjetas /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ## permitimos hacer forward de paquetes en el firewall echo 1 /proc/sys/net/ipv4/ip_forward te agradezco mucho tu ayuda Carlos. Cualquier cosa... Un saludo -Mensaje Original- De: Carlos Valderrama cva...@perucam.com Para: 'xve' x...@zonaweb.info, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables - Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. Para: debian-user-spanish@lists.debian.org Asunto: NAT de NetBios con iptables Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
RE: NAT de NetBios con iptables
Hola Mirando tu script estas con las reglas en ACCEPT, prueba a usar estas reglas a ver y me comentas, No olvides de habilitar en bit en 1 para el forwarding vi /etc/sysctl.conf net.ipv4.conf.default.forwarding = 1 grabas y sales y escribes sysctl -p for u in INPUT FORWARD OUTPUT; do iptables -A $u -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -N PERMISOS-SSH iptables -N PERMISOS-DNS iptables -N PERMISOS-SAMBA iptables -A INPUT -p tcp -m tcp --dport 22 -j PERMISOS-SSH iptables -A FORWARD -p udp -m udp --dport 53 -j PERMISOS-DNS iptables -A INPUT -p tcp -m tcp --dport 137:139 -j PERMISOS-SAMBA iptables -A INPUT -p udp -m udp --dport 137:139 -J PERMISOS-SAMBA iptables -A PERMISOS-SSH -d 192.168.2.215 -p tcp -m tcp --sport 1024: --dport 22 -m state --state NEW -m comment --comment SSH INPUT -j ACCEPT iptables -A PERMISOS-DNS -p udp -m udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p tcp -m tcp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p udp -m udp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT dentro de tu red me imagino que debes de tener un servidor DNS también, como está configurado, estás haciendo los PTR correctamente. Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: martes, 15 de diciembre de 2009 06:35 a.m. Para: Carlos Valderrama CC: debian-user-spanish@lists.debian.org Asunto: Re: NAT de NetBios con iptables Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT # Empezamos a filtrar # ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # relacionado o establecido y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan a esta maquina /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # denegamos el acceso desde la wifi a esta maquina /sbin/iptables -A INPUT -i $1 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o $1 -p tcp --sport 22 -j ACCEPT ##samba iptables -t filter -A INPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 445 -j ACCEPT iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp -- sport 1024: -m multiport --dports
NAT de NetBios con iptables
Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
RE: NAT de NetBios con iptables
Hola como estas, a ver haciendo NAT de NetBios Suponiendo iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t nat y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT Saludos Darkmull -Mensaje original- De: xve [mailto:x...@zonaweb.info] Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. Para: debian-user-spanish@lists.debian.org Asunto: NAT de NetBios con iptables Hola a todos, Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas de red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, para poder conectarse a unidades compartidas de los servidores que esta en la otra red del firewall que estamos realizando. Hemos intentado con iptables, pero no hemos conseguido que nos funcione. No sabemos que pc's se van a conectar a la red, por lo que no podemos modificar a cada uno de ellos el fichero hosts. Agradeceria cualquier ayuda. Un saludo y gracias anticipadas -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org __ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 4685 (20091214) __ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com __ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 4686 (20091214) __ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
