Re: ayuda con iptables
El día 2 de junio de 2009 19:22, Leonel Hernández Grandela maxpa...@filialfcm.ssp.sld.cu escribió: hola amigos acá ando iniciandome con un pequeño problema en mi red, resulta ser que a nivel de router me han cerrado todos los puertos que pudiera usar en mi ip desde fuera de mi red local, y desde fuera de mi red nadamas puede verse el puerto 80, lo que necesito es hacer lo siguiente: 1- dejar el puerto 80 abierto para cualquier uso, en el servidor que tiene 2 tarjetas de red eth0 y eth1 en la cual eth0 es la ip que se ve desde fuera de mi red local. ( se como hacerlo ) con iptables 2- montar en una pc local el apache para visualisar mi web desde fuera de mi red local y redireccionar el trafico www del puerto 80 de el server que tiene las 2 interfaces hacia el apache de la red local y asi las personas fuera de mi red vean el web en la pc local. ( se hacerlo tambien con iptables ) 3- montar en otra pc un proxy en un puerto X o puede ser el 80 tambien, para que las personas puedan usar a traves de un DNAT el proxy que esta local en mi red. ( se hacerlo con iptables tambien ) 4- ahora el problema está: - tengo solo un puerto 80 eso lo sé. - como hacer para que las peticiones al 80 que sean http o sea www para visualizar la web vayan a la pc donde está apache montado. - y por ultimo como hacer para que las peticiones que vengan al mismo puerto 80 que es el unico que tengo permitido que se vea desde fuea de mi red vayan al proxy en la pc local. o sea en general usar el puerto 80 para 2 fines 1: www, 2: proxy un saludo desde cuba y esperando ayuda de algun colega gracias de antemano --- Red Telematica de Salud - Cuba CNICM - Infomed -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org con squid escuchando directamente el pueto 80 y armando una acl que verifiquen ql tipo de paquete y direccionando a los diferentes ips interna -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: ayuda con iptables RESUELTO
El Martes, 4 de Octubre de 2005 11:30, Dnebla escribió: Haber si me corriges si no me equivoco tu escenario es el siguiente : ___ SERVER MAIL eth1 | FW | eth0 --- INTERNET entonces tu lo ya has hecho el direccionamiento prerouting para tu servidor de email de tu lan : iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.1.2:25 http://192.168.1.2:25 permitimos el paso el de paquetes smtp por el forward : iptables -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 25 -j ACCEPT no olvidar el dns tambien : iptables -A FORWARD -p udp --sport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT ahora cuando los paquetes salen necesitan salir emascarados por la direccion IP publica q tu tengas , eso no veo que lo pones : iptables -t nat -A POSTROUTING -s 192.168.1.0/24 http://192.168.1.0/24 -o eth0 -j SNAT --to IP_WAN donde IP_WAN : es la ip externa . espero q funcione , o sino escribe estare al tanto de la los mensajes de la lista , suerte . con las reglas anteriores funciono todo correctamente, gracias por su ayuda pgpCk947Irjgh.pgp Description: PGP signature
Re: ayuda con iptables
En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio.El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres.Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos.
Re: ayuda con iptables
Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 --dport 25 -j DNAT --to-destination 192.168.1.2:25 donde 192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0 --dport 25 -j DNAT --to-destination 192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. pgpM30D4UEiH9.pgp Description: PGP signature
Re: ayuda con iptables
El Martes, 4 de Octubre de 2005 08:35, Dnebla escribió: Has habilitado el forwardeo de paquetes ? echo 1 /proc/sys/net/ipv4/ip_forward Saludos . 2005/10/4, LSC. Francisco Javier Ferreyra López [EMAIL PROTECTED]: Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 donde 192.168.1.2 http://192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 http://192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 http://192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 http://192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 http://192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. el forwardin esta activado por default, alguna otra sugerencia please pgpWu6kVV2ZZx.pgp Description: PGP signature
Re: ayuda con iptables
El mar, 04-10-2005 a las 09:52 -0500, LSC. Francisco Javier Ferreyra López escribió: El Martes, 4 de Octubre de 2005 08:35, Dnebla escribió: Has habilitado el forwardeo de paquetes ? echo 1 /proc/sys/net/ipv4/ip_forward Saludos . 2005/10/4, LSC. Francisco Javier Ferreyra López [EMAIL PROTECTED]: Buenas noches, necesito ayuda de manera explicita, agradecere sus comentarios tengo montado un firewall protegiendo mis servidores, uno de ellos de correo, tengo instalado squirrelmail y exim, empezando a probar mi firewall con reglas accept por default todo funciona de maravilla, recibo y envio mail sin problemas cuando pongo las politicas input output y forward en drop y prerouting y postroutin en accept con las siguientes reglas para mail ## Publicamos el correo electronico iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 donde 192.168.1.2 http://192.168.1.2 es mi servidor de mail ip_publica_del_fw es la ip de la etho de mi fw 192.168.1.1 http://192.168.1.1 es la ip de la eth1 de mi fw si puedo recibir correos pero no envio, vi por ahi que tenia que poner una regla forward para mi server de mail de esta forma iptables -A FORWARD -d 192.168.1.2 http://192.168.1.2 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 http://192.168.1.2 -p tcp --sport 25 -j ACCEPT pero sigue igual, mi pregunta es que regla o reglas me hacen falta para poder enviar correos desde mi servidor a internet? El Martes, 4 de Octubre de 2005 01:25, Hector Muñoz escribió: En principio si tienes ACCEPT por defecto sin poner nada ya te acepta la conexion... Otro tema es que tengas un servidor SMTP corriendo en la maquina firewall. Si no es asi, tienes que redireccionar (con DNAT) a la maquina servidora SMTP. Salud!! -- Todo lo que se funda en la fuerza es frágil y denota la ausencia del ingenio. El mayor obstáculo que la igualdad ha de vencer, no es el aristocrático orgullo de ricos, sino el egoísmo indisciplinado de los pobres. Quitar a otros su libertad, es renunciar vilmente a la suya; porque no hay mas torpe esclavitud, que la de ser jefe de esclavos. ok, creo que no me explique bien, cuando tengo las reglas por defecto en accept y reduirecciono el puerto 25 a mi server de mail puedo enviar y recibir correo correctamente el problema es cuando pongo las politicas por defecto drop, es ahi cuando si puedo recibir correo ya que con esta regla iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --sport 1024:65535 -d ip_publica_del_fw --dport 25 -m state --state NEW -j ACCEPT me acepta todo lo que venga de cualquier lado al puerto 25 de mi fw y con esta otra iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0.0.0.0/0http://0.0.0.0/0--dport 25 -j DNAT --to-destination 192.168.1.2:25 http://192.168.1.2:25 redirecciono las peticiones al servidor smnp que tengo en mi zona protegida, ahora bien que reglas utilizaria para poder decirle que todo el correo saliente de 192.168.1.2 http://192.168.1.2 puerto 25 me imagino lo aviente hacia internet y pueda mandar correos ya que como vuelvo a repetir solamente recibo. el forwardin esta activado por default, alguna otra sugerencia please Por lo completas que son las reglas de iptables creo que sabes mas del tema que yo, pero como reflexionar en voz alta ayuda a pensar vamos aya. Yo, en mi cortafuegos, tengo puestas las politicas de salida en ACCEPT, esto es de internet a cualquier sitio DROP del cortafuegos a mi red REJECT y de mi red a cualquier sitio ACCEPT, esto esta bien salvo que quieras evitar la salida desde tu red a internet (yo en mi casa como no estoy paranoico no me prohíbo cosas). Creo que con: iptables -A FORWARD -i eth1 -j ACCEPT estas permitiendo todo el transito que entre desde la eth1 (tu red interna) -- Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con iptables -P FORWARD DROP
On 5/16/05, Pablo Braulio [EMAIL PROTECTED] wrote: Hola a todos. Hoy lunes maldito, y malditos problemillas de principio de semana. He cambiado la configuración del firewall y estoy poniendo una política DROP para FORWARD. El problemilla con el que me encuentro, es que no consigo dar con la regla para conectar por ssh con un equipo que tengo en mi red pero en otro rango. Lo explico. Tengo un equipo con tres interfaces: eth0 = dhcp (externa) eth1 = LAN (192.168.1.0/24) eth2 = Servidor web (192.168.0.X) Lo que trato de hacer es poder conectar con un equipo de la LAN al servidor web, pero no doy con la regla. Para conectar con los equipos de la misma LAN no hay problema. Me bastó con aceptar las reglas INPUT, OUTPUT de la interfaz eth1. Pero en este caso interviene otra interfaz (eth2) y no lo consigo. ¿Alguna ayuda?. Gracias. -- Saludos. Pablo Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http://www.aldiagestion.com iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 22 -j ACCEPT iptables -A FORWARD -o eth1 -i eth2 -p tcp --sport 22 -j ACCEPT Aunque no tengo claro desde/hacia donde intentas acceder por ssh o si has cambiado algo más además de la política polr defecto del FORWARD.
Re: Ayuda con iptables, por favor.
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT A mi esto me funciona bien. Saludos. Si señor, esto funciona estupendamente, y ademas con menos reglas de las necesarias. Que alivio. Muchas gracias. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli pgpMp96bymqZl.pgp Description: PGP signature
Re: Ayuda con iptables, por favor.
Los equipos de tu red, ¿tienen la puerta de enlace apuntando al pc que hará de router/firewall? ¿Has activado el SNAT? para activar el SNAT si tu ip pública es fija pon: iptables -t nat -A POSTROUTING -o ethx -j SNAT --to-source tu ip pública y si es dinámica: iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE donde pone ethx debes poner la interface que está conectada al cablemodem. Salut. El Miércoles, 29 de Diciembre de 2004 12:33, Pablo Braulio escribió: El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona ¿Debo hacer esto con cada una de las direcciones?
Re: Ayuda con iptables, por favor.
Sorry!! no habia leido tu post entero :). Por lo visto solo dejas hacer forward a conexiones externas por el puerto 22. El resto del tráfico saliente no te funcionará porque tienes la politica por defecto de FORWARD a DROP... ponla a ACCEPT para probar a ver si es eso. Saludos.
Re: Ayuda con iptables, por favor.
Necesitas activar las consultas a los DNS, ya que estos por alguna estrña razón no funciona si no les dejas hace runa conexión con ru máquina. La regla sería: iptables -A INPUT -s IP_SERVIDOR_DNS/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT Prueba a ver, Un saludo. - Original Message - From: Pablo Braulio [EMAIL PROTECTED] To: debian-user-spanish debian-user-spanish@lists.debian.org Sent: Wednesday, December 29, 2004 11:59 AM Subject: Ayuda con iptables, por favor.
Re: Ayuda con iptables, por favor.
El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona ¿Debo hacer esto con cada una de las direcciones? -- signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Re: Ayuda con iptables, por favor.
On Wed, 29 Dec 2004 12:33:28 +0100, Pablo Braulio [EMAIL PROTECTED] wrote: El mié, 29-12-2004 a las 12:14 +0100, Pablo Braulio escribió: El mié, 29-12-2004 a las 08:01 -0300, Nicolas Patik escribió: probá: ping 216.239.37.99 Si anda, el problema puede estar en el archivo /etc/resolv.conf Si que funciona.Pero no entiendo. ¿Como lo soluciono?. En /etc/resolv.conf tengo lo siguiente: search nameserver 62.42.230.24 nameserver 62.42.63.52 nameserver 212.95.216.62 Saludos. Pablo. Si pongo las reglas: iptables -A INPUT -i eth0 -s 62.42.230.24/255.255.255.255 -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -o etho -d 62.42.230.24/255.255.255.255 -p udp -m udp --dport 53 -j ACCEPT Puedo hacer ping google.com, pero los equipos de mi red no. Igualmente he añadido la regla FORWARD y no funciona Creo que con esto debería andar: iptables -A POSTROUTING -o eth0 -d 62.42.230.24 -p udp --dport 53 -j ACCEPT iptables -A POSTROUTING -o eth0 -d 62.42.63.52 -p udp --dport 53 -j ACCEPT iptables -A POSTROUTING -o eth0 -d 212.95.216.62 -p udp --dport 53 -j ACCEPT ¿Debo hacer esto con cada una de las direcciones? -- -- --Nicolas
Re: Ayuda con iptables
Sé que no es debian subject [...] ¿? # dpkg -S /sbin/iptables iptables: /sbin/iptables Si está en un paquete Debian oficial, no está fuera del tema de la lista.