Get Gentoo!
gentoo.org sites
gentoo.org Wiki Bugs Forums Packages
Planet Archives Sources
Infra Status

Gentoo Archives: gentoo-user-es

From: "Juan Facundo Suárez" <faco@××××××××××.ar>
To: gentoo-user-es@l.g.o
Subject: Re: [gentoo-user-es] Reenvio de puertos y ftp con Firewall iptables
Date: Thu, 01 Apr 2004 15:17:38
Message-Id: 200404011218.47282.faco@fdsoft.com.ar
In Reply to: [gentoo-user-es] Reenvio de puertos y ftp con Firewall iptables by Xpctro
1 Lo que me parece que te está faltando, además de hacer el prerouting hacia las
2 máquinas internas que dan los servicios, es adeptar el forward de cada una de
3 ellas. Yo tengo un ejemplo con el vnc.
4
5 Tenía en la red internet una máquina con win2000 haciendo un laburo. La dejé
6 y la iba a controlas desde afuera. Básicamente era esto:
7
8 Iptables -A FORWARD -p tcp --dport 5900 -d 192.168.0.25 -j ACCEPT
9 iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to 192.168.0.25
10
11 y con esto, abría un vnc y le apuntaba a la ip de la máquina de conección a
12 internet, y ésta, me redireccionaba a la máquina que yo quería ver.
13
14 El Thursday 01 April 2004 11:58, Xpctro escribió:
15 > Hola a tod@s,
16 >
17 > Tengo un firewall montado en el servidor linux, y todo va perfecto, a
18 > excepcion del reenvio de puertos y el ftp desde las maquinas internas .
19 > las reglas que tengo son las siguientes:
20 > ---------------------------------------------------------------------------
21 >-- #!/bin/sh
22 > # Script para arrancar el Firewall
23 >
24 > # limpiando
25 > iptables -F
26 > iptables -X
27 > iptables -Z
28 > iptables -t nat -F
29 >
30 > # politica por defecto
31 > iptables -P INPUT ACCEPT
32 > iptables -P OUTPUT ACCEPT
33 > iptables -P FORWARD ACCEPT
34 > iptables -t nat -P PREROUTING ACCEPT
35 > iptables -t nat -P POSTROUTING ACCEPT
36 >
37 >
38 > # permitimos que se conecten al servidor web ;)
39 > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
40 >
41 > # iniciamos el filtrado
42 >
43 > # port mapping
44 > #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
45 > 192.168.2.3
46 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9090 -j DNAT --to
47 > 192.168.2.2
48 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4661 -j DNAT --to
49 > 192.168.2.2
50 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4661 -j DNAT --to
51 > 192.168.2.2
52 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4662 -j DNAT --to
53 > 192.168.2.2
54 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4662 -j DNAT --to
55 > 192.168.2.2
56 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4672 -j DNAT --to
57 > 192.168.2.2
58 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4672 -j DNAT --to
59 > 192.168.2.2
60 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4665 -j DNAT --to
61 > 192.168.2.2
62 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4665 -j DNAT --to
63 > 192.168.2.2
64 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4711 -j DNAT --to
65 > 192.168.2.2
66 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4711 -j DNAT --to
67 > 192.168.2.2
68 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27000:27039 -j DNAT
69 > --to 192.168.2.2
70 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 27000:27039 -j DNAT
71 > --to 192.168.2.2
72 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2234 -j DNAT --to
73 > 192.168.2.2
74 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 2234 -j DNAT --to
75 > 192.168.2.2
76 > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5534 -j DNAT --to
77 > 192.168.2.2
78 > iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5534 -j DNAT --to
79 > 192.168.2.2
80 >
81 > # permitimos las conexiones a localhost
82 > iptables -A INPUT -i lo -j ACCEPT
83 > iptables -A OUTPUT -o lo -j ACCEPT
84 >
85 > # abrimos el acceso al firewall desde la red local
86 > iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
87 >
88 > # filtramos lo que sale de la red local con FORWARD
89 > # HTTP
90 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
91 > # HTTPS
92 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
93 > # CVS
94 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2401 -j
95 > ACCEPT # SMTP
96 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
97 > # DNS
98 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
99 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
100 > # POP3
101 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
102 > # FTP
103 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 20:21 -j
104 > ACCEPT
105 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 20:21 -j
106 > ACCEPT
107 > # PLESK
108 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 8443 -j
109 > ACCEPT # MSN MESSENGER
110 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 1863 -j
111 > ACCEPT # EMULE
112 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 4661 -j
113 > ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 4661
114 > -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 4662
115 > -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport
116 > 4662 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp
117 > --dport 4672 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p
118 > tcp --dport 4672 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1
119 > -p tcp --dport 4665 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i
120 > eth1 -p udp --dport 4665 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24
121 > -i eth1 -p tcp --dport 4711 -j ACCEPT iptables -A FORWARD -s
122 > 192.168.2.0/24 -i eth1 -p udp --dport 4711 -j ACCEPT # SOULSEEK
123 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2234 -j
124 > ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 2234
125 > -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 5534
126 > -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport
127 > 5534 -j ACCEPT # SYNC
128 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 873 -j ACCEPT
129 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 873 -j ACCEPT
130 > # PING
131 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p icmp --icmp-type any -j
132 > ACCEPT
133 > # el resto de puertos los cerramos
134 > iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -j DROP
135 >
136 > # NAT
137 > iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
138 >
139 > # activamos el ip forwarding
140 > echo 1 > /proc/sys/net/ipv4/ip_forward
141 >
142 > # mostramos mas info para ip dinamicas
143 > echo 2 > /proc/sys/net/ipv4/ip_dynaddr
144 >
145 > # desactivamos ExplicitCongestionNotification
146 > echo 0 > /proc/sys/net/ipv4/tcp_ecn
147 >
148 > # activa TCPsyncookies
149 > echo 1 > /proc/sys/net/ipv4/tcp_syncookies
150 >
151 > # activa Verificacion de ruta (evitamos el IPSpoofing :)
152 > for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
153 > echo 1 > $f
154 > done
155 >
156 > # cerramos los accesos indeseados desde el exterior
157 > iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1: -j DROP
158 > iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1: -j DROP
159 > ---------------------------------------------------------------------------
160 >--
161 >
162 > los modulos que cargo son:
163 > iptables
164 > iptable_filter
165 > ip_conntrack
166 > ip_conntrack_ftp
167 > ip_conntrack_tftp
168 > ip_conntrack_irc
169 > ipt_state
170 > iptable_nat
171 > ip_nat_ftp
172 > ip_nat_tftp
173 > ip_nat_irc
174 > ipt_MASQUERADE
175 > ipt_REDIRECT
176 > ipt_LOG
177 > ipt_REJECT
178 >
179 > El kernel es un 2.4.25_pre7-gss-r2
180 >
181 > He estado revisando documentacion y tutoriales en internet pero no
182 > consigo encontrar lo que tengo mal.
183 > ¿algun sabio consejo?
184 >
185 > Gracias por vuestra ayuda, y perdon por la extension del mensaje
186 > Xpctro ;)
187
188 --
189 Facundo Suárez
190 FDSoft SA
191 icq:121172697
192 jabber:faco@××××××××××.ar
193 msn:use_jabber@×××××××.com
194 Neuquén-Argentina
195
196 --
197 gentoo-user-es@g.o mailing list

Replies

Subject Author
Re: [gentoo-user-es] Reenvio de puertos y ftp con Firewall iptables Xpctro <xpctro@××.com>
Report Message
Find on MARC Find on Google Groups