Hola Mirando tu script estas con las reglas en ACCEPT, prueba a usar estas reglas a ver y me comentas, No olvides de habilitar en bit en 1 para el forwarding
vi /etc/sysctl.conf net.ipv4.conf.default.forwarding = 1 grabas y sales y escribes sysctl -p for u in INPUT FORWARD OUTPUT; do iptables -A $u -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -N PERMISOS-SSH iptables -N PERMISOS-DNS iptables -N PERMISOS-SAMBA iptables -A INPUT -p tcp -m tcp --dport 22 -j PERMISOS-SSH iptables -A FORWARD -p udp -m udp --dport 53 -j PERMISOS-DNS iptables -A INPUT -p tcp -m tcp --dport 137:139 -j PERMISOS-SAMBA iptables -A INPUT -p udp -m udp --dport 137:139 -J PERMISOS-SAMBA iptables -A PERMISOS-SSH -d 192.168.2.215 -p tcp -m tcp --sport 1024: --dport 22 -m state --state NEW -m comment --comment "SSH INPUT" -j ACCEPT iptables -A PERMISOS-DNS -p udp -m udp --sport 1024: --dport 53 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p tcp -m tcp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT iptables -A PERMISOS-SAMBA -d 192.168.0.100 -p udp -m udp --sport 1024: --dport 137:139 -m state --state NEW -j ACCEPT dentro de tu red me imagino que debes de tener un servidor DNS también, como está configurado, estás haciendo los PTR correctamente. Saludos Darkmull -----Mensaje original----- De: xve [mailto:x...@zonaweb.info] Enviado el: martes, 15 de diciembre de 2009 06:35 a.m. Para: Carlos Valderrama CC: debian-user-spanish@lists.debian.org Asunto: Re: NAT de NetBios con iptables Hola Carlos, muchas gracias por tus comentarios, de verdad que te lo agradezco mucho, pero no nos funciona. El servidor tiene dos tarjetas, la 192.168.2.251 y la 192.168.0.251 Los clientes se conectar a la 192.168.2 y el servidor samba esta en la 192.168.0.100 Si ponen la ip directament no hay ningun problema, pero por el nombre NetBios no funciona. He puesto tus instrucciones asi: iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT te adjunto todo el archivo del iptables por ti te puede ayudar... ## cargamos los modulos # modulo del iptables /sbin/modprobe ip_tables # modulo del nat (network address tanslation) /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp # modulos del filtro de paquetes /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp ## vacioamos las posibles configuraciones # vaciamos las reglas iptables -F # vaciamos las reglas de nat iptables -t nat -F # borrar cadenas vacias iptables -X # ponemos a cero los contadores de paquetes y bytes de todas las reglas iptables -Z ## cambiamos la politica de las reblas de uso interno # por defecto, denegaremos todas las entradas si no indicamos lo contrario iptables -P INPUT ACCEPT # por defecto, aceptaremos todas las salidas si no indicamos lo contrario iptables -P OUTPUT ACCEPT ##### Empezamos a filtrar ##### ## localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # todo lo que venga de la red wifi(eth1) hacia la publica(eth0) se deja pasar #/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p TCP --dport 53 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i $1 -p UDP --dport 53 -o eth0 -j ACCEPT ## Esta regla permite que todos los paquetes que esten en estado # "relacionado" o "establecido" y que tengan como destino final # el mismo firewall se acepten. /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##Acceso SSH # acceso a ssh desde la lan a esta maquina /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT # denegamos el acceso desde la wifi a esta maquina /sbin/iptables -A INPUT -i $1 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -o $1 -p tcp --sport 22 -j ACCEPT ##samba ############ iptables -t filter -A INPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 445 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 445 -j ACCEPT iptables -A PREROUTING -s 192.168.2.109 -d 192.168.0.100 -p tcp -m tcp -- sport 1024: -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.0.100 -t nat #y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 en esos respectivos puertos iptables -A FORWARD -d 192.168.0.100 -p tcp -m tcp --sport 1024: -m multiport --dports 137,138,139 -m state --state NEW -j ACCEPT ## ping hacia el servidor habilitado /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -t nat -A PREROUTING -m mac --mac-source 00:15:C5:B5:d3:6c -p TCP --dport 1:65000 -j ACCEPT ##habilitamos el postrouting en las dos tarjetas /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ## permitimos hacer forward de paquetes en el firewall echo 1 > /proc/sys/net/ipv4/ip_forward te agradezco mucho tu ayuda Carlos. Cualquier cosa... Un saludo -----Mensaje Original----- De: "Carlos Valderrama" <cva...@perucam.com> Para: "'xve'" <x...@zonaweb.info>, debian-user-spanish@lists.debian.org Enviado el: Monday 14 December 2009 Asunto: RE: NAT de NetBios con iptables ----- > Hola como estas, a ver haciendo NAT de NetBios > > Suponiendo > > iptables -A PREROUTING -s red2 -d 192.168.2.1 -p tcp -m tcp --sport 1024: > -m multiport --dports 137,138,139 -j DNAT --to-destination 192.168.4.2 -t > nat > > y obviamente en el forward tienes que aceptar conexiones hacia 192.168.4.2 > en esos respectivos puertos > > iptables -A FORWARD -d 192.168.4.2 -p tcp -m tcp --sport 1024: -m multiport > --dports 137,138,139 -m state --state NEW -j ACCEPT > > Saludos > Darkmull > > > > -----Mensaje original----- > De: xve [mailto:x...@zonaweb.info] > Enviado el: lunes, 14 de diciembre de 2009 04:30 a.m. > Para: debian-user-spanish@lists.debian.org > Asunto: NAT de NetBios con iptables > > Hola a todos, > > Estamos desarrollando un firewall con un ordenador Linux con dos tarjetas > de > > red, i necesitamos realizar NAT sobre las peticiones NetBios de Windows, > para > poder conectarse a unidades compartidas de los servidores que esta en la > otra > red del firewall que estamos realizando. > > Hemos intentado con iptables, pero no hemos conseguido que nos funcione. > > No sabemos que pc's se van a conectar a la red, por lo que no podemos > modificar a cada uno de ellos el fichero "hosts". > > Agradeceria cualquier ayuda. > > Un saludo y gracias anticipadas > -- xve -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org __________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 4690 (20091215) __________ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com __________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 4690 (20091215) __________ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
