On 4/29/05, Javi <[EMAIL PROTECTED]> wrote: > El jue, 28-04-2005 a las 23:41 -0300, Leo escribió: > > Hola Lista. > > > > Tengo dos cuestiones que no he podido resolver con iptables. > > > > He leido unos cuantos apuntes al respecto, y si bien me he enterado de > > muchas cosas, no he podido dar con alguno que me indique puntualmente > > como solucionar lo que a continuación les detallo. > > > > - Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a > > la pc que comparte internet), pero si trato de conectarme a una de las > > pc internas con esto: > > > > iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \ > > --to 192.168.0.111:22 > > > > No puedo hacerlo. > > > Te falta redireccionar, cadena de forward.
Además de que te falta permitir el tráfico con una cadena FORWARD, ¿cómo va a saber el firewall a cual de los PCs intentas conectarte?. Tendrás que usar otro puerto de entrada para el otro PC, ¿no? > > Alguien sabe que puede estar mal en mi script de iptables que no me > > permite hacer estas redirecciones? > forward > > > > Por último, hace poco le he añadido una nueva interfaz de red de mi > > gateway para poder separar una red en 2 distintas. > > > > Esto funciona perfecto, pero no encuentro la manera de evitar que desde > > una de las redes puedan acceder a la otra. > > > > Oportunamente un compañero de esta lista me indicó lo siguiente: > > > > iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP > > > > Pero no logro "separar" ambas redes? > > > > Alguien tiene una pista de lo que puede estar pasando? > > > nop :( Presiento que lo que realmente necesitas es una regla de FORWARD, de hecho 2 reglas (una para cada red): iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP Por cierto, ten en cuenta que los paquetes van comparandose con las reglas dependiendo de el orden en el que las tengas. Prueba a poner estas reglas antes (lo más arriba posible del script despues de los FLUSH)) a ver qué tal. > > Muchas Gracias. > > > > > > Salu2. > > > > --- Dat1.net --- > > [Este mail fue controlado con Declude Virus/F-Prot] > > > Creo que leyendo solo la lista se hubiera respondido la pregunta, si no > me equivoco te falta la cadena forward > o sea asi como haces el prerouting hace el forward (si tenes dos placas > en el firewall, seguramente). > sino no te entendi, disculpame > Saludos. Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a alguien que quería cambiar el puerto de SSH y es lo mismo que necesitas tú. Lo digo sin acritud, pero creo que hay que leer y buscar más antes de preguntar. Me auto copio ;-) : En el firewall dar permiso a las conexiones: iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT --to 192.168.1.2:22 iptables -A FORWARD -p tcp --dport 22 -j ACCEPT [Nuevo_puerto] es el puerto que deberás especificar en el cliente cuando intentas conectarte al PC de dentro de la LAN 192.168.1.2 es la IP del PC al que intentas conectarte de la LAN > > :D > -- > Javi. > Linux registered number 354635 > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >