On Fri, Aug 8, 2008 at 4:06 PM, juan carlos oyola hidalgo <[EMAIL PROTECTED]> wrote: > Hola amigos, siempre agradeciendo de antemano la ayuda prestada y es que > estoy tratando de levantar un firewall para una red que tiene una LAN y una > DMZ, > > mi eth0 esta con salida a internet > mi lan esta en un eth1 con 192.168.100.x\24 > mi eth2 esta con 10.0.0\16 > > este es el script q tengo, se q es de lo mas sencillo. > > con esto mi lan tiene salida perfecta, pero al momento de hacer que se tenga > acceso a una de las maq de la DMZ pues se me corta el acceso. > > > me preguntaba si puedo hacer que una intefaz virtual tambien tenga salida, > ya que tengo una red en eth1:0 con 192.168.101.x/24 y quiero que tambien > tenga salida, pero al momento de poner la linea, pues me sale el error > :warning : wired character in interface 'eth1:0' (No aliases, :, ! > or *) > se puede? > > aqui el script > --------------------------- > #!/bin/sh > > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > /sbin/iptables -A INPUT -i lo -j ACCEPT > > > iptables -v -t nat -A PREROUTING -d 200.37.x.x -p tcp --dport 80 -j DNAT > --to 10.0.0.3:80 > iptables -t nat -A POSTROUTING -s 0/0 -p tcp --dport 80 -j SNAT --to IP > 200.37.x.x > > > > #ACCESO FIREWALL DESDE LAN > iptables -A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT > > #ENMASCARAMIENTO RED LOCAL > iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > #PARA PINGS > /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > #para los broadcast > /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > > #para marcianos > /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians > > #asegurandose q no hay forward > /bin/echo "1" > /proc/sys/net/ipv4/ip_forward > > > iptables -A INPUT -s 0.0.0.0/0 -p TCP --dport 1:1024 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -p UDP --dport 0:1024 -j DROP > > iptables -A INPUT -s 0.0.0.0/0 -p TCP --dport 10000 -j DROP > > -------------------------------------------- > > porfa si pueden mejorar esto se agradeceria > -- > Juan Carlos Oyola Hidalgo > ------------------------------- > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l >
Algunos consejos: - Cambia esa política de aceptar por defecto por denegar por defecto, da trabajo pero es más segura. - Verifica tus rutas - Revisa bien tu script, me parece que en ningun momento haces masquerade para tu DMZ solo para internet - Desayuna fuerte y come ligero -- ---- Mauricio López Linux User: 373384 " ...ich hab euch etwas mitgebracht ein heller Schein am Firmament Mein Herz brennt" _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
