Gracias mauricio, estoy trabajando en tus sugerencias, tambien estoy viendo los post historicos de la lista para tener algo mas de ayuda, me encontre con el post de *Leonardo. *esta rechevere, agracedecer mas sugerencias y aver como vamos creciendo en el tema,
saludos y gracias, 2008/8/9 Mauricio López <[EMAIL PROTECTED]> > On Fri, Aug 8, 2008 at 4:06 PM, juan carlos oyola hidalgo > <[EMAIL PROTECTED]> wrote: > > Hola amigos, siempre agradeciendo de antemano la ayuda prestada y es que > > estoy tratando de levantar un firewall para una red que tiene una LAN y > una > > DMZ, > > > > mi eth0 esta con salida a internet > > mi lan esta en un eth1 con 192.168.100.x\24 > > mi eth2 esta con 10.0.0\16 > > > > este es el script q tengo, se q es de lo mas sencillo. > > > > con esto mi lan tiene salida perfecta, pero al momento de hacer que se > tenga > > acceso a una de las maq de la DMZ pues se me corta el acceso. > > > > > > me preguntaba si puedo hacer que una intefaz virtual tambien tenga > salida, > > ya que tengo una red en eth1:0 con 192.168.101.x/24 y quiero que tambien > > tenga salida, pero al momento de poner la linea, pues me sale el error > > :warning : wired character in interface 'eth1:0' (No aliases, :, ! > > or *) > > se puede? > > > > aqui el script > > --------------------------- > > #!/bin/sh > > > > > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > > > iptables -P INPUT ACCEPT > > iptables -P OUTPUT ACCEPT > > iptables -P FORWARD ACCEPT > > iptables -t nat -P PREROUTING ACCEPT > > iptables -t nat -P POSTROUTING ACCEPT > > > > /sbin/iptables -A INPUT -i lo -j ACCEPT > > > > > > iptables -v -t nat -A PREROUTING -d 200.37.x.x -p tcp --dport 80 -j DNAT > > --to 10.0.0.3:80 > > iptables -t nat -A POSTROUTING -s 0/0 -p tcp --dport 80 -j SNAT --to IP > > 200.37.x.x > > > > > > > > #ACCESO FIREWALL DESDE LAN > > iptables -A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT > > > > #ENMASCARAMIENTO RED LOCAL > > iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE > > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > #PARA PINGS > > /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > > > #para los broadcast > > /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > > > > #para marcianos > > /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians > > > > #asegurandose q no hay forward > > /bin/echo "1" > /proc/sys/net/ipv4/ip_forward > > > > > > iptables -A INPUT -s 0.0.0.0/0 -p TCP --dport 1:1024 -j DROP > > iptables -A INPUT -s 0.0.0.0/0 -p UDP --dport 0:1024 -j DROP > > > > iptables -A INPUT -s 0.0.0.0/0 -p TCP --dport 10000 -j DROP > > > > -------------------------------------------- > > > > porfa si pueden mejorar esto se agradeceria > > -- > > Juan Carlos Oyola Hidalgo > > ------------------------------- > > _______________________________________________ > > Cancelar suscripción > > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > > Buscar en el archivo > > http://listas.softwarelibre.cu/buscar/linux-l > > > > Algunos consejos: > > - Cambia esa política de aceptar por defecto por denegar por defecto, > da trabajo pero es más segura. > - Verifica tus rutas > - Revisa bien tu script, me parece que en ningun momento haces > masquerade para tu DMZ solo para internet > - Desayuna fuerte y come ligero > > -- > ---- > Mauricio López > Linux User: 373384 > > " ...ich hab euch etwas mitgebracht > ein heller Schein am Firmament > Mein Herz brennt" > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l > -- Juan Carlos Oyola Hidalgo ------------------------------- _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
