Re: Redireccionar con IPTABLES
Anteriormente, a un hilo parecido a este, creo que era "redireccionar ssh con iptables", contesté con esto que aquí he pegado. No sé si funcionó, porque no he visto la respuesta en ese otro hilo de quien tenía ese problema, y yo no lo he probado todavía. Investigando un poco (fuente: "Linux Server Hacks", libro de O'Reilly, facilmente obtenible desde emule), dice: <" La regla siguiente se puede usar para enviar peticiones HTTP a un sistema (10.0.0.3) de la red interna: #Use DNAT to port forward http iptables -t nat -A PREROUTING ! -i $INT_IFACE -p tcp --destination-port 80 -j DNAT --to 10.0.0.3:80 Esto solo funcionará si la red destino está directamente conectada (o sea, no está en redes remotas). Echa un vistazo a rinetd o nportredird si necesitas hacer forwarding desde redes remotas. "> Y, echando un vistazo a rinetd (http://www.boutell.com/rinetd/), dice que es tan sencillo como poner [Source Address] [Source Port] [Destination Address] [Destination Port] Permitiendose sentencias como 0.0.0.0 80 my.server.es 80 216.218.203.211 22 10.0.0.3 22 Creo que esta solucion podria serte util. On Thu Dec 23 20:45 , Alexander <[EMAIL PROTECTED]> sent: >fernando villarroel escribió: > >> > "/sbin/IPTABLES" =! "/sbin/iptables" >> >>>Ademas, si el puerto original es el mismo que el >>>puerto al que quieres >>>redirigir, puedes omitir la parte ":3306" de la >>>opcion "--to" >> >> >> Tambien lo probe, pero no funciona. >esta es MI linea de iptables que expone el http y si funciona: >/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport \ > 80 -j DNAT --to 10.10.1.10 > >La verdad, aparte de mayusculas y orden da parametros no les veo >diferencias sustanciales. >Que error obtienes? > > >-- >To UNSUBSCRIBE, email to [EMAIL PROTECTED] >with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
Re: Redireccionar con IPTABLES
On Fri, Dec 24, 2004 at 05:56:36AM +0100, fernando villarroel wrote: > Date: Fri, 24 Dec 2004 05:56:36 +0100 (CET) > From: fernando villarroel <[EMAIL PROTECTED]> > Subject: Re: Redireccionar con IPTABLES > To: Alexander <[EMAIL PROTECTED]> > Cc: debian-user-spanish@lists.debian.org > > Les paso mi script : > > #!/bin/sh > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > iptables -F INPUT > iptables -P INPUT DROP > iptables -F OUTPUT > iptables -P OUTPUT ACCEPT > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > /sbin/iptables -A INPUT -i lo -j ACCEPT > /sbin/iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j > ACCEPT > /sbin/iptables -A INPUT -s 192.168.0.0/16 -i vpn -j > ACCEPT > #/sbin/iptables -A INPUT -s 0.0.0.0 -d 192.168.1.0/24 > -j DROP > echo 1 > /proc/sys/net/ipv4/ip_forward > > /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 > -o ppp0 -j MASQUERADE > /sbin/iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p > tcp --dport 80 -j DNAT --to-destination 192.168.1.4:80 > saludos, las reglas de POSTROUTING + PREROUTING no deberían ir al final de script ? ... un abrazo y Feliz Nochebuena y Navidad !!! -- __ Walter Osoria - Debian GNU/Linux 3.0 [EMAIL PROTECTED] - LIcq 2277064 Linux registered user #124360 GnuPG Public Key: http://www.keyserver.net FingerPrint = 2D31 FE71 D7A7 20E7 D1EB 5593 CFE2 2D72 FFAC 33FA
Re: Redireccionar con IPTABLES
Les paso mi script : #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F iptables -F INPUT iptables -P INPUT DROP iptables -F OUTPUT iptables -P OUTPUT ACCEPT iptables -F FORWARD iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT /sbin/iptables -A INPUT -s 192.168.0.0/16 -i vpn -j ACCEPT #/sbin/iptables -A INPUT -s 0.0.0.0 -d 192.168.1.0/24 -j DROP echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE /sbin/iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.4:80 ### Creamos chains de estado /sbin/iptables -N allowed-connection /sbin/iptables -F allowed-connection /sbin/iptables -A allowed-connection -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A allowed-connection -i ppp0 -p tcp -m state --state NEW --dport www -j ACCEPT /sbin/iptables -A allowed-connection -i ppp0 -p tcp -m state --state NEW --dport smtp -j ACCEPT /sbin/iptables -A allowed-connection -i eth1 -p tcp -m state --state NEW --dport 995 -j ACCEPT #Trafico que entra /sbin/iptables -N allow-ssh-traffic-in /sbin/iptables -F allow-ssh-traffic-in /sbin/iptables -A allow-ssh-traffic-in -i ppp0 -p tcp -m state --state NEW --dport ssh -j ACCEPT /sbin/iptables -A allow-ssh-traffic-in -p tcp --sport ssh -j ACCEPT ### Tráfico que sale /sbin/iptables -N allow-ssh-traffic-out /sbin/iptables -F allow-ssh-traffic-out /sbin/iptables -A allow-ssh-traffic-out -p tcp --dport ssh -j ACCEPT /sbin/iptables -A OUTPUT -m state --state NEW -o ppp0 -p TCP --dport 25 -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p ICMP --icmp-type 8 -j DROP /sbin/iptables -A INPUT -i ppp0 -p tcp --dport 655 -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p udp --dport 655 -j ACCEPT /sbin/iptables -A INPUT -j allow-ssh-traffic-in /sbin/iptables -A INPUT -j allowed-connection /sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p tcp --dport 5432 -j DROP /sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p udp --dport 5432 -j DROP /sbin/iptables -A INPUT -p TCP -m state --state NEW ! --syn -j DROP echo "...VPN" /sbin/iptables -A FORWARD -i ppp0 -o eth1 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o ppp0 -s 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i vpn -o eth1 -s 192.168.0.0/16 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o vpn -s 192.168.1.0/24 -d 192.168.0.0/16 -j ACCEPT echo "...hecho" /sbin/iptables -A FORWARD -o lo -j ACCEPT /sbin/iptables -A FORWARD -j allow-ssh-traffic-in /sbin/iptables -A FORWARD -j allowed-connection /sbin/iptables -A FORWARD -i eth1 -j ACCEPT Modifique para redireccionar a un pc con Linux corriendo apache, pero tampoco funciona, es mas dejo sin internet a la Lan, si comento la linea del PREROUTING soluciono el tema de internet, pero no consigo redireccionar alguna peticion a un puerto determinado hacia algun PC de la LAN? Como puedo pedirle a iptables que me mustre sus log, ya que en syslog y messages no encuentro nada relacionado. --- Alexander <[EMAIL PROTECTED]> escribió: > fernando villarroel escribió: > > > > "/sbin/IPTABLES" =! "/sbin/iptables" > > > >>Ademas, si el puerto original es el mismo que el > >>puerto al que quieres > >>redirigir, puedes omitir la parte ":3306" de la > >>opcion "--to" > > > > > > Tambien lo probe, pero no funciona. > esta es MI linea de iptables que expone el http y si > funciona: > /sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 > --dport \ > 80 -j DNAT --to 10.10.1.10 > > La verdad, aparte de mayusculas y orden da > parametros no les veo > diferencias sustanciales. > Que error obtienes? > > > -- > To UNSUBSCRIBE, email to > [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > __ Renovamos el Correo Yahoo!: ¡250 MB GRATIS! Nuevos servicios, más seguridad http://correo.yahoo.es
Re: Redireccionar con IPTABLES
fernando villarroel escribió: > "/sbin/IPTABLES" =! "/sbin/iptables" Ademas, si el puerto original es el mismo que el puerto al que quieres redirigir, puedes omitir la parte ":3306" de la opcion "--to" Tambien lo probe, pero no funciona. esta es MI linea de iptables que expone el http y si funciona: /sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport \ 80 -j DNAT --to 10.10.1.10 La verdad, aparte de mayusculas y orden da parametros no les veo diferencias sustanciales. Que error obtienes?
Re: Redireccionar con IPTABLES
> "/sbin/IPTABLES" =! "/sbin/iptables" > Ademas, si el puerto original es el mismo que el > puerto al que quieres > redirigir, puedes omitir la parte ":3306" de la > opcion "--to" Tambien lo probe, pero no funciona. __ Renovamos el Correo Yahoo!: ¡250 MB GRATIS! Nuevos servicios, más seguridad http://correo.yahoo.es
Re: Redireccionar con IPTABLES
fernando villarroel escribió: HOla, tengo el siguiente problema, en la empresa donde trabajo colocamos un servidor Debian que hace la funcion de gateway para dar salida a los PC de la LAN a Internet, el problema que tengo es que uno de los PC (192.168.2.6) corre un servidor MySQL en un Windows 98, Mi pregunta es como direcciono cualquier conexion que venga de INternet al puerto 3306 hacia el pc 192.168.2.6, estuve probando agragando la siguiente regla, pero no me funciono: /sbin/IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 3306 -j DNAT --to 192.168.2.6:3306 "/sbin/IPTABLES" =! "/sbin/iptables" Ademas, si el puerto original es el mismo que el puerto al que quieres redirigir, puedes omitir la parte ":3306" de la opcion "--to"
Redireccionar con IPTABLES
HOla, tengo el siguiente problema, en la empresa donde trabajo colocamos un servidor Debian que hace la funcion de gateway para dar salida a los PC de la LAN a Internet, el problema que tengo es que uno de los PC (192.168.2.6) corre un servidor MySQL en un Windows 98, Mi pregunta es como direcciono cualquier conexion que venga de INternet al puerto 3306 hacia el pc 192.168.2.6, estuve probando agragando la siguiente regla, pero no me funciono: /sbin/IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 3306 -j DNAT --to 192.168.2.6:3306 Alguna idea el script del firewall ya contenia las siguientes lineas: echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE Ademas la politica por defecto son DROP Fernando. __ Renovamos el Correo Yahoo!: ¡250 MB GRATIS! Nuevos servicios, más seguridad http://correo.yahoo.es
