1 |
Lo que me parece que te está faltando, además de hacer el prerouting hacia las |
2 |
máquinas internas que dan los servicios, es adeptar el forward de cada una de |
3 |
ellas. Yo tengo un ejemplo con el vnc. |
4 |
|
5 |
Tenía en la red internet una máquina con win2000 haciendo un laburo. La dejé |
6 |
y la iba a controlas desde afuera. Básicamente era esto: |
7 |
|
8 |
Iptables -A FORWARD -p tcp --dport 5900 -d 192.168.0.25 -j ACCEPT |
9 |
iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to 192.168.0.25 |
10 |
|
11 |
y con esto, abría un vnc y le apuntaba a la ip de la máquina de conección a |
12 |
internet, y ésta, me redireccionaba a la máquina que yo quería ver. |
13 |
|
14 |
El Thursday 01 April 2004 11:58, Xpctro escribió: |
15 |
> Hola a tod@s, |
16 |
> |
17 |
> Tengo un firewall montado en el servidor linux, y todo va perfecto, a |
18 |
> excepcion del reenvio de puertos y el ftp desde las maquinas internas . |
19 |
> las reglas que tengo son las siguientes: |
20 |
> --------------------------------------------------------------------------- |
21 |
>-- #!/bin/sh |
22 |
> # Script para arrancar el Firewall |
23 |
> |
24 |
> # limpiando |
25 |
> iptables -F |
26 |
> iptables -X |
27 |
> iptables -Z |
28 |
> iptables -t nat -F |
29 |
> |
30 |
> # politica por defecto |
31 |
> iptables -P INPUT ACCEPT |
32 |
> iptables -P OUTPUT ACCEPT |
33 |
> iptables -P FORWARD ACCEPT |
34 |
> iptables -t nat -P PREROUTING ACCEPT |
35 |
> iptables -t nat -P POSTROUTING ACCEPT |
36 |
> |
37 |
> |
38 |
> # permitimos que se conecten al servidor web ;) |
39 |
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT |
40 |
> |
41 |
> # iniciamos el filtrado |
42 |
> |
43 |
> # port mapping |
44 |
> #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to |
45 |
> 192.168.2.3 |
46 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9090 -j DNAT --to |
47 |
> 192.168.2.2 |
48 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4661 -j DNAT --to |
49 |
> 192.168.2.2 |
50 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4661 -j DNAT --to |
51 |
> 192.168.2.2 |
52 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4662 -j DNAT --to |
53 |
> 192.168.2.2 |
54 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4662 -j DNAT --to |
55 |
> 192.168.2.2 |
56 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4672 -j DNAT --to |
57 |
> 192.168.2.2 |
58 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4672 -j DNAT --to |
59 |
> 192.168.2.2 |
60 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4665 -j DNAT --to |
61 |
> 192.168.2.2 |
62 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4665 -j DNAT --to |
63 |
> 192.168.2.2 |
64 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4711 -j DNAT --to |
65 |
> 192.168.2.2 |
66 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4711 -j DNAT --to |
67 |
> 192.168.2.2 |
68 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27000:27039 -j DNAT |
69 |
> --to 192.168.2.2 |
70 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 27000:27039 -j DNAT |
71 |
> --to 192.168.2.2 |
72 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2234 -j DNAT --to |
73 |
> 192.168.2.2 |
74 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 2234 -j DNAT --to |
75 |
> 192.168.2.2 |
76 |
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5534 -j DNAT --to |
77 |
> 192.168.2.2 |
78 |
> iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5534 -j DNAT --to |
79 |
> 192.168.2.2 |
80 |
> |
81 |
> # permitimos las conexiones a localhost |
82 |
> iptables -A INPUT -i lo -j ACCEPT |
83 |
> iptables -A OUTPUT -o lo -j ACCEPT |
84 |
> |
85 |
> # abrimos el acceso al firewall desde la red local |
86 |
> iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT |
87 |
> |
88 |
> # filtramos lo que sale de la red local con FORWARD |
89 |
> # HTTP |
90 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT |
91 |
> # HTTPS |
92 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT |
93 |
> # CVS |
94 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2401 -j |
95 |
> ACCEPT # SMTP |
96 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT |
97 |
> # DNS |
98 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT |
99 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT |
100 |
> # POP3 |
101 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT |
102 |
> # FTP |
103 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 20:21 -j |
104 |
> ACCEPT |
105 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 20:21 -j |
106 |
> ACCEPT |
107 |
> # PLESK |
108 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 8443 -j |
109 |
> ACCEPT # MSN MESSENGER |
110 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 1863 -j |
111 |
> ACCEPT # EMULE |
112 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 4661 -j |
113 |
> ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 4661 |
114 |
> -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 4662 |
115 |
> -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport |
116 |
> 4662 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp |
117 |
> --dport 4672 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p |
118 |
> tcp --dport 4672 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 |
119 |
> -p tcp --dport 4665 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i |
120 |
> eth1 -p udp --dport 4665 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 |
121 |
> -i eth1 -p tcp --dport 4711 -j ACCEPT iptables -A FORWARD -s |
122 |
> 192.168.2.0/24 -i eth1 -p udp --dport 4711 -j ACCEPT # SOULSEEK |
123 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2234 -j |
124 |
> ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 2234 |
125 |
> -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 5534 |
126 |
> -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport |
127 |
> 5534 -j ACCEPT # SYNC |
128 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 873 -j ACCEPT |
129 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 873 -j ACCEPT |
130 |
> # PING |
131 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p icmp --icmp-type any -j |
132 |
> ACCEPT |
133 |
> # el resto de puertos los cerramos |
134 |
> iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -j DROP |
135 |
> |
136 |
> # NAT |
137 |
> iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE |
138 |
> |
139 |
> # activamos el ip forwarding |
140 |
> echo 1 > /proc/sys/net/ipv4/ip_forward |
141 |
> |
142 |
> # mostramos mas info para ip dinamicas |
143 |
> echo 2 > /proc/sys/net/ipv4/ip_dynaddr |
144 |
> |
145 |
> # desactivamos ExplicitCongestionNotification |
146 |
> echo 0 > /proc/sys/net/ipv4/tcp_ecn |
147 |
> |
148 |
> # activa TCPsyncookies |
149 |
> echo 1 > /proc/sys/net/ipv4/tcp_syncookies |
150 |
> |
151 |
> # activa Verificacion de ruta (evitamos el IPSpoofing :) |
152 |
> for f in /proc/sys/net/ipv4/conf/*/rp_filter; do |
153 |
> echo 1 > $f |
154 |
> done |
155 |
> |
156 |
> # cerramos los accesos indeseados desde el exterior |
157 |
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1: -j DROP |
158 |
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1: -j DROP |
159 |
> --------------------------------------------------------------------------- |
160 |
>-- |
161 |
> |
162 |
> los modulos que cargo son: |
163 |
> iptables |
164 |
> iptable_filter |
165 |
> ip_conntrack |
166 |
> ip_conntrack_ftp |
167 |
> ip_conntrack_tftp |
168 |
> ip_conntrack_irc |
169 |
> ipt_state |
170 |
> iptable_nat |
171 |
> ip_nat_ftp |
172 |
> ip_nat_tftp |
173 |
> ip_nat_irc |
174 |
> ipt_MASQUERADE |
175 |
> ipt_REDIRECT |
176 |
> ipt_LOG |
177 |
> ipt_REJECT |
178 |
> |
179 |
> El kernel es un 2.4.25_pre7-gss-r2 |
180 |
> |
181 |
> He estado revisando documentacion y tutoriales en internet pero no |
182 |
> consigo encontrar lo que tengo mal. |
183 |
> ¿algun sabio consejo? |
184 |
> |
185 |
> Gracias por vuestra ayuda, y perdon por la extension del mensaje |
186 |
> Xpctro ;) |
187 |
|
188 |
-- |
189 |
Facundo Suárez |
190 |
FDSoft SA |
191 |
icq:121172697 |
192 |
jabber:faco@××××××××××.ar |
193 |
msn:use_jabber@×××××××.com |
194 |
Neuquén-Argentina |
195 |
|
196 |
-- |
197 |
gentoo-user-es@g.o mailing list |