On 5/12/05, Leo <[EMAIL PROTECTED]> wrote: > Pedro Pozuelo wrote: > > >On 4/29/05, Javi <[EMAIL PROTECTED]> wrote: > > > > > >>El jue, 28-04-2005 a las 23:41 -0300, Leo escribió: > >> > >> > >>>Hola Lista. > >>> > >>>Tengo dos cuestiones que no he podido resolver con iptables. > >>> > >>>He leido unos cuantos apuntes al respecto, y si bien me he enterado de > >>>muchas cosas, no he podido dar con alguno que me indique puntualmente > >>>como solucionar lo que a continuación les detallo. > >>> > >>>- Desde mi trabajo puedo conectarme por ssh a mi oficina (me conecto a > >>>la pc que comparte internet), pero si trato de conectarme a una de las > >>>pc internas con esto: > >>> > >>>iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \ > >>> --to 192.168.0.111:22 > >>> > >>>No puedo hacerlo. > >>> > >>> > >>> > >>Te falta redireccionar, cadena de forward. > >> > >> > > > >Además de que te falta permitir el tráfico con una cadena FORWARD, > >¿cómo va a saber el firewall a cual de los PCs intentas conectarte?. > >Tendrás que usar otro puerto de entrada para el otro PC, ¿no? > > > > > Dejando lo del forward de lado, ya que por distintas razones no puedo > probar, no entiendo lo que dices de que "como va a saber el firewall a > cual de los pcs...", eso esta bien claro.
No puedes dejar lo de FORWARD al lado. Para que te hagas una idea, para cada servicio o puerto que quieras enrutar: 1º Necesitas redireccionar el tráfico con la regla que tú mismo has puesto: iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT --to 192.168.0.111:22 2º Dudo que tengas las reglas de FORWARD por defecto en ACCEPT porque es una locura. Así que tendrás que permitir el tráfico que en la regla anterior has enrutado: iptables -A FORWARD -s x.x.x.x -d 192.168.0.111 --dport 22 -j ACCEPT Con "como va a saber el firewall a cual de los pcs...", creo que no me expresé nada bien. Me refería a que si redireccionas el tráfico SSH a la máquina 192.168.0.111 no podrás conectarte al PC en el que estamos definiendo estas reglas por SSH. Y bajo mi punto de vista limita tu capacidad para administrarlo remotamente. Pero vamos, que lo puedes dejar así y no hay ningún problema... no sé si me explico. > > iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --dport 22 -j DNAT \ > --to 192.168.0.111:22 > > La ip desde la cual trato de conectarme es x.x.x.x y a la cual quiero llegar > es 192.168.0.111 > > > > > > > >>>Alguien sabe que puede estar mal en mi script de iptables que no me > >>>permite hacer estas redirecciones? > >>> > >>> > >>forward > >> > >> > >>>Por último, hace poco le he añadido una nueva interfaz de red de mi > >>>gateway para poder separar una red en 2 distintas. > >>> > >>>Esto funciona perfecto, pero no encuentro la manera de evitar que desde > >>>una de las redes puedan acceder a la otra. > >>> > >>>Oportunamente un compañero de esta lista me indicó lo siguiente: > >>> > >>>iptables -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP > >>> > >>>Pero no logro "separar" ambas redes? > >>> > >>>Alguien tiene una pista de lo que puede estar pasando? > >>> > >>> > >>> > >>nop :( > >> > >> > > > >Presiento que lo que realmente necesitas es una regla de FORWARD, de > >hecho 2 reglas (una para cada red): > > > >iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP > >iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP > > > >Por cierto, ten en cuenta que los paquetes van comparandose con las > >reglas dependiendo de el orden en el que las tengas. Prueba a poner > >estas reglas antes (lo más arriba posible del script despues de los > >FLUSH)) a ver qué tal. > > > > > > Ok. Gracias Pedro. > > > > > > >>>Muchas Gracias. > >>> > >>> > >>>Salu2. > >>> > >>>--- Dat1.net --- > >>>[Este mail fue controlado con Declude Virus/F-Prot] > >>> > >>> > >>> > >>Creo que leyendo solo la lista se hubiera respondido la pregunta, si no > >>me equivoco te falta la cadena forward > >>o sea asi como haces el prerouting hace el forward (si tenes dos placas > >>en el firewall, seguramente). > >>sino no te entendi, disculpame > >>Saludos. > >> > >> > > > >Yo tambien lo creo, de hecho he respondido ayer mismo en la lista a > >alguien que quería cambiar el puerto de SSH y es lo mismo que > >necesitas tú. Lo digo sin acritud, pero creo que hay que leer y buscar > >más antes de preguntar. > > > >Me auto copio ;-) : > > > >En el firewall dar permiso a las conexiones: > >iptables -A PREROUTING -t nat -p tcp --dport [Nuevo_puerto] -j DNAT > >--to 192.168.1.2:22 > >iptables -A FORWARD -p tcp --dport 22 -j ACCEPT > > > >[Nuevo_puerto] es el puerto que deberás especificar en el cliente > >cuando intentas conectarte al PC de dentro de la LAN > >192.168.1.2 es la IP del PC al que intentas conectarte de la LAN > > > > > > > > > > > >>:D > >>-- > >>Javi. > >>Linux registered number 354635 > >> > >> > >>-- > >>To UNSUBSCRIBE, email to [EMAIL PROTECTED] > >>with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >> > >> > >> > >> > > > > > > > > > > > Pedro, antes que nada gracias por tu respuesta. > > Te respondo recién ahora porque no había visto este mensaje. (te voy > respondiendo debajo de tus opiniones). > Ok, espero que con lo que te he dicho puedas solucionarlo, pero como ya dije tienes la respuesta a un par de busquedas de google. Por último, por favor no respondas a mi email personal, que para eso ya tenemos la lista. Un saludo, > > --- Dat1.net --- > [Este mail fue controlado con Declude Virus/F-Prot] > >