2009/9/14 Sebastián Veloso Varas <svel...@sevelv.cl>: > El 14 de septiembre de 2009 16:34, Juan Andres Ramirez < > jandresa...@gmail.com> escribió: > >> Estimados : >> Tengo un firewall controlando la lan con iptables. Resulta que >> tengo la politica de drop, habriendo los puertos que necesito, y esto >> lo tengo funcionando hace unas semanas con unos poco usuarios, y >> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24, >> donde también estan los usuarios con la puerta 2, que seria la del >> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único >> problema que tengo es el acceso entre computadores desde la 100 a la >> subred 101. >> >> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde >> la red 101 a la 100, pero no al revez, es decir si trato de entrar a >> un computador en la subred 101 desde la red 100 no puedo. >> > > ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT)
Tengo mis dudas aca, porque tengo en drop la politicas: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y OUTPUT, puedo ver la subred 101 desde la red 100. Mas abajo pego las reglas completas. > > >> >> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc >> desde la red 100 a la subred 101 sin problemas. Entonces debo tener >> algun puerto cerrado y no se cual es. >> > > DROP por defecto y si quieres ver redes compartidas, usas los puertos > 137,138 UDP y 139,445 TCP. > >> >> Adjunto archivo txt con las reglas, por si alguien se interesa en >> mirarlas. Pero como dije antes asi como esta funciona bien para lo que >> quiero, solo me falta ese pequeño detalle. >> >> > El adjunto no llego a la lista....trata de hacer copy paste si es posible. ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT #ACCESO AL LOCALHOST iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #COMUNICACION DNS AL LOCALHOST iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL iptables -A INPUT -i eth1 -j ACCEPT #CONSULTAS DNS iptables -A FORWARD -p udp --dport 53 -j ACCEPT # ACCESO SSH DE MI IP iptables -A INPUT -s 192.168.100.253 -j ACCEPT iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT #ACCESO A WEB iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # Permitimos que la maquina pueda salir a la web iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT # Ya tambien a webs seguras iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT #ACCESO A MAIL iptables -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -p tcp --dport 995 -j ACCEPT iptables -A FORWARD -p tcp --dport 465 -j ACCEPT #ACCESO A SNMP iptables -A FORWARD -p udp --dport 169 -j ACCEPT #ACCESO A FTP iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT #ACCESO A TELNET iptables -A FORWARD -p tcp --dport 23 -j ACCEPT #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS iptables -A FORWARD -p udp --dport 137 -j ACCEPT iptables -A FORWARD -p udp --dport 138 -j ACCEPT iptables -A FORWARD -p tcp --dport 139 -j ACCEPT iptables -A FORWARD -p tcp --dport 445 -j ACCEPT iptables -A FORWARD -p tcp --dport 135 -j ACCEPT iptables -A FORWARD -p udp --dport 135 -j ACCEPT #DEJAMOS PASAR LOS PING iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE) iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128 # Con esto permitimos hacer forward de paquetes en el firewall, osea # que otras maquinas puedan salir a traves del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward > > >> >> Muchas gracias. >> > > > > Saludos, Sebastian >