Miguel Da Silva - Centro de Matemática escribió:
Carlos Moreira escreveu:
Daniel escribió:
A lo mejor sería conveniente que explicaras que hace cada una para
que quien no entienda lo que significan te puedan ayudar en la
traducción. Tal y como lo preguntas estás obligando a que solo te
pueda ayudar alguien que conozca las reglas de cisco y las de
iptables a la vez.
Di qué quiere decir cada una y seguro que hay mucha gente que sabe
como hacer lo que quieres con iptables.
También ayuda si explicas un poco como está tu infraestructura de
red. Lo dicho, cuantos más datos mejor.
El día 3 de julio de 2008 18:15, Carlos Moreira
<[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>> escribió:
Buenas, les comento que estoy intentando cambiar mi firewall
cisco, por
uno con linux e iptables, pero estoy complicado con la
traduccion de
algunas reglas, alguno tiene idea como podria escribir las
siguientes
reglas en cisco, pasarlas a iptables??
gracias
static (inside,outside) 10.254.0.226 <http://10.254.0.226>
10.1.1.13 <http://10.1.1.13> netmask 255.255.255.255
<http://255.255.255.255> 0 0
conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq
www any
outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0
<http://0.0.0.0> 143 tcp
route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
<http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
-- To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>
Tenes, razón. Asi que intento explicarlas un poco,
static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13
<http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
esto lo que me dice es que todo lo que venga por la ip 10.254.0.226
me lo natee a la 10.1.1.13
conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto
www (80)
outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0>
143 tcp
esta me permite pasar por el puerto 143 desde cualquier ip con la que
yo venga
route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
<http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
y esta no tengo mucha idea, pero creo que me routea lo que venga
desde la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien
claro.
les comento que lo que tengo configurado es una red con DMZ, osea,
tengo mi red interna, con las sub-redes 10.1.1.x, 10.1.2.x, etc,
luego tengo el firewall cisco que es el que quiero cambiar, tengo la
DMZ, en la sub red 10.254.0.x, y un firewall externo entre la DMZ y
el resto del mundo.
Buenas!!!
Me tomo la libertad de contestarte directamente a tu mail porque
parece ser que estamos en el mismo país. No digo que somos
conterraneos porque soy brasileño. ;)
Así que la intendencia de Canelones va a dejar de usar el firewall
Cisco?! De ellos solo conozco a los routers y son muy buenos. En
Facultad de Ingeniería y Facultad de Ciencias hay instalados unos
equipos de estos y cumplen su trabajo de maravilla!!!
Pero dejemos la charla y vamos a lo que interesa:
> static (inside,outside) 10.254.0.226 <http://10.254.0.226> 10.1.1.13
> <http://10.1.1.13> netmask 255.255.255.255 <http://255.255.255.255> 0 0
> esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 me
> lo natee a la 10.1.1.13
iptables -A PREROUTING -t nat -s 10.254.0.226 -j DNAT --to 10.1.1.13
> conduit permit tcp host 10.254.0.231 <http://10.254.0.231> eq www any
> aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto
www (80)
>
iptables -A INPUT -i <interface_de_entrada> -s 10.254.0.231
--destination-port 80 -j ACCEPT
> outbound 199 permit 0.0.0.0 <http://0.0.0.0> 0.0.0.0 <http://0.0.0.0>
> 143 tcp
> esta me permite pasar por el puerto 143 desde cualquier ip con la
que yo
> venga
iptables -A INPUT -i <interface_de_entrada> --destination-port 143 -j
ACCEPT
>
> route inside 10.1.2.0 <http://10.1.2.0> 255.255.255.0
> <http://255.255.255.0> 10.1.1.1 <http://10.1.1.1> 2
> y esta no tengo mucha idea, pero creo que me routea lo que venga desde
> la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien claro.
Entonces eso ya no es tema de iptables, pero sí de iproute2.
Espero que te ayude, pero fijate que no es para nada algo definitivo.
Hay que agregar más reglas y armarlas de manera de manera que no
quedan agujeros. Iptables funciona de manera tal que la primer regla
que "matchea", es la que se aplica. Además, como dice el nombre,
funciona a base de tablas (filter, nat y mangle).
Otro punto es ver como rellenar a <interface_de_entrada> porque es
aqui donde decís en que "dirección" vas a aplicar el firewall.
Si hay dudas, mandame un mail que vamos resolviendo eso.
Un abrazo.
iptables -A FORWARD -m state --state NEW -s 10.254.0.230 --dport 1352 -j
ACCEPT
iptables -t nat -A PREROUTING -s 10.254.0.230 --dport 1352 -j DNAT
--to-destination 10.1.1.20:1352
iptables -t nat -A POSTROUTING -s 10.1.1.20 --sport 1352 -o $DEV_DMZ -d
10.254.0.230 -j SNAT --to-source 10.254.0.230
A ver.. primero te cuento que estamos migrando todos los servidores a
Linux en la Intendencia de Canelones, ya pasamos el servidor de correo
de exchange a qmail, los controladores de dominio de server 2000 a samba
y ldap, la base de datos estamos migrandola de Oracle a MySQL, por ahora
nos quedan en Oracle, solo algunos sistemas que fueron comprados llave
en mano por la administracion pasada, y que no podemos migrar todavia,
pero ya nos vamos a desacer de esos sistemas y poder implementar
desarrollos propios, sobre mysql.
Pero bueno, ahora volviendo al tema... jeje
estas tres reglas que escribí arriba lo que intentan hacer es:
aceptar toda conexion nueva que venga desde la 10.254.0.230 por el
puerto 1352
toda conexion con origen 10.254.0.230 por el puerto 1352 me la mande al
10.1.1.20 por el puerto 1352
toda conexion que venga de la 10.1.1.20 por el puerto 1352 desde la
tarjeta de red que tengo hacia afuera con destino 10.254.0.230 me la
mande efetivamente a esa ip.
esta bien como estoy escribiendo las reglas y como intento dejar pasar
de un lado para el otro del firewall todas las conexiones desde y hacia
el servidor 10.1.1.20 por el puerto 1352??
gracias
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]