Re: reglas de cisco con iptables

[Carlos Moreira]

Miguel Da Silva - Centro de Matemática escribió:

Carlos Moreira escreveu:


Daniel escribió:
A lo mejor sería conveniente que explicaras que hace cada una para 
que quien no entienda lo que significan te puedan ayudar en la 
traducción. Tal y como lo preguntas estás obligando a que solo te 
pueda ayudar alguien que conozca las reglas de cisco y las de 
iptables a la vez.


Di qué quiere decir cada una y seguro que hay mucha gente que sabe 
como hacer lo que quieres con iptables.


También ayuda si explicas un poco como está tu infraestructura de 
red. Lo dicho, cuantos más datos mejor.


El día 3 de julio de 2008 18:15, Carlos Moreira 
[EMAIL PROTECTED] 
mailto:[EMAIL PROTECTED] escribió:


Buenas, les comento que estoy intentando cambiar mi firewall
cisco, por
uno con linux e iptables, pero estoy complicado con la 
traduccion de
algunas reglas, alguno tiene idea como podria escribir las 
siguientes

reglas en cisco, pasarlas a iptables??
gracias

static (inside,outside) 10.254.0.226 http://10.254.0.226
10.1.1.13 http://10.1.1.13 netmask 255.255.255.255
http://255.255.255.255 0 0

conduit permit tcp host 10.254.0.231 http://10.254.0.231 eq 
www any


outbound 199 permit 0.0.0.0 http://0.0.0.0 0.0.0.0
http://0.0.0.0 143 tcp

route inside 10.1.2.0 http://10.1.2.0 255.255.255.0
http://255.255.255.0 10.1.1.1 http://10.1.1.1 2


-- To UNSUBSCRIBE, email to
[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]



Tenes, razón. Asi que intento explicarlas un poco,

static (inside,outside) 10.254.0.226 http://10.254.0.226 10.1.1.13 
http://10.1.1.13 netmask 255.255.255.255 http://255.255.255.255 0 0
esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 
me lo natee a la 10.1.1.13



conduit permit tcp host 10.254.0.231 http://10.254.0.231 eq www any
aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto 
www (80)



outbound 199 permit 0.0.0.0 http://0.0.0.0 0.0.0.0 http://0.0.0.0 
143 tcp
esta me permite pasar por el puerto 143 desde cualquier ip con la que 
yo venga



route inside 10.1.2.0 http://10.1.2.0 255.255.255.0 
http://255.255.255.0 10.1.1.1 http://10.1.1.1 2
y esta no tengo mucha idea, pero creo que me routea lo que venga 
desde la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien 
claro.



les comento que lo que tengo configurado es una red con DMZ, osea, 
tengo mi red interna, con las sub-redes 10.1.1.x, 10.1.2.x, etc, 
luego tengo el firewall cisco que es el que quiero cambiar, tengo la 
DMZ, en la sub red 10.254.0.x, y un firewall externo entre la DMZ y 
el resto del mundo.









Buenas!!!

Me tomo la libertad de contestarte directamente a tu mail porque 
parece ser que estamos en el mismo país. No digo que somos 
conterraneos porque soy brasileño. ;)


Así que la intendencia de Canelones va a dejar de usar el firewall 
Cisco?! De ellos solo conozco a los routers y son muy buenos. En 
Facultad de Ingeniería y Facultad de Ciencias hay instalados unos 
equipos de estos y cumplen su trabajo de maravilla!!!


Pero dejemos la charla y vamos a lo que interesa:

 static (inside,outside) 10.254.0.226 http://10.254.0.226 10.1.1.13
 http://10.1.1.13 netmask 255.255.255.255 http://255.255.255.255 0 0
 esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 me
 lo natee a la 10.1.1.13

iptables -A PREROUTING -t nat -s 10.254.0.226 -j DNAT --to 10.1.1.13

 conduit permit tcp host 10.254.0.231 http://10.254.0.231 eq www any
 aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto 
www (80)



iptables -A INPUT -i interface_de_entrada -s 10.254.0.231 
--destination-port 80 -j ACCEPT



 outbound 199 permit 0.0.0.0 http://0.0.0.0 0.0.0.0 http://0.0.0.0
 143 tcp
 esta me permite pasar por el puerto 143 desde cualquier ip con la 
que yo

 venga

iptables -A INPUT -i interface_de_entrada --destination-port 143 -j 
ACCEPT



 route inside 10.1.2.0 http://10.1.2.0 255.255.255.0
 http://255.255.255.0 10.1.1.1 http://10.1.1.1 2
 y esta no tengo mucha idea, pero creo que me routea lo que venga desde
 la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien claro.

Entonces eso ya no es tema de iptables, pero sí de iproute2.


Espero que te ayude, pero fijate que no es para nada algo definitivo. 
Hay que agregar más reglas y armarlas de manera de manera que no 
quedan agujeros. Iptables funciona de manera tal que la primer regla 
que matchea, es la que se aplica. Además, como dice el nombre, 
funciona a base de tablas (filter, nat y mangle).


Otro punto es ver como rellenar a interface_de_entrada porque es 
aqui donde decís en que dirección vas a aplicar el firewall.


Si hay dudas, mandame un mail que vamos resolviendo eso.

Un abrazo.


iptables -A FORWARD -m state --state NEW -s 10.254.0.230 --dport 1352 -j 
ACCEPT
iptables -t nat -A PREROUTING -s 10.254.0.230  --dport 1352 -j DNAT 

reglas de cisco con iptables

[Carlos Moreira]

Buenas, les comento que estoy intentando cambiar mi firewall cisco, por
uno con linux e iptables, pero estoy complicado con la traduccion de
algunas reglas, alguno tiene idea como podria escribir las siguientes
reglas en cisco, pasarlas a iptables??
gracias

static (inside,outside) 10.254.0.226 10.1.1.13 netmask 255.255.255.255 0 0

conduit permit tcp host 10.254.0.231 eq www any

outbound 199 permit 0.0.0.0 0.0.0.0 143 tcp

route inside 10.1.2.0 255.255.255.0 10.1.1.1 2


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: reglas de cisco con iptables

[Miguel Da Silva - Centro de Matemática]

Carlos Moreira wrote:

Buenas, les comento que estoy intentando cambiar mi firewall cisco, por
uno con linux e iptables, pero estoy complicado con la traduccion de
algunas reglas, alguno tiene idea como podria escribir las siguientes
reglas en cisco, pasarlas a iptables??
gracias

static (inside,outside) 10.254.0.226 10.1.1.13 netmask 255.255.255.255 0 0

conduit permit tcp host 10.254.0.231 eq www any

outbound 199 permit 0.0.0.0 0.0.0.0 143 tcp

route inside 10.1.2.0 255.255.255.0 10.1.1.1 2




Podrías explicar que efecto tiene cada una de estas reglas en un 
firewall Cisco?


Si te sirve de algo, mirá está página: 
http://iptables-tutorial.frozentux.net/iptables-tutorial.html


Es un muy buen manual de iptables.

Saludos.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: reglas de cisco con iptables

[Carlos Moreira]

Daniel escribió:
A lo mejor sería conveniente que explicaras que hace cada una para que 
quien no entienda lo que significan te puedan ayudar en la traducción. 
Tal y como lo preguntas estás obligando a que solo te pueda ayudar 
alguien que conozca las reglas de cisco y las de iptables a la vez.


Di qué quiere decir cada una y seguro que hay mucha gente que sabe 
como hacer lo que quieres con iptables.


También ayuda si explicas un poco como está tu infraestructura de red. 
Lo dicho, cuantos más datos mejor.


El día 3 de julio de 2008 18:15, Carlos Moreira 
[EMAIL PROTECTED] 
mailto:[EMAIL PROTECTED] escribió:


Buenas, les comento que estoy intentando cambiar mi firewall
cisco, por
uno con linux e iptables, pero estoy complicado con la traduccion de
algunas reglas, alguno tiene idea como podria escribir las siguientes
reglas en cisco, pasarlas a iptables??
gracias

static (inside,outside) 10.254.0.226 http://10.254.0.226
10.1.1.13 http://10.1.1.13 netmask 255.255.255.255
http://255.255.255.255 0 0

conduit permit tcp host 10.254.0.231 http://10.254.0.231 eq www any

outbound 199 permit 0.0.0.0 http://0.0.0.0 0.0.0.0
http://0.0.0.0 143 tcp

route inside 10.1.2.0 http://10.1.2.0 255.255.255.0
http://255.255.255.0 10.1.1.1 http://10.1.1.1 2


-- 
To UNSUBSCRIBE, email to

[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED] mailto:[EMAIL PROTECTED]



Tenes, razón. Asi que intento explicarlas un poco,

static (inside,outside) 10.254.0.226 http://10.254.0.226 10.1.1.13 
http://10.1.1.13 netmask 255.255.255.255 http://255.255.255.255 0 0
esto lo que me dice es que todo lo que venga por la ip 10.254.0.226 me 
lo natee a la 10.1.1.13



conduit permit tcp host 10.254.0.231 http://10.254.0.231 eq www any
aca me deja pasar lo que venga desde la 10.254.0.231 por el puerto www (80)


outbound 199 permit 0.0.0.0 http://0.0.0.0 0.0.0.0 http://0.0.0.0 
143 tcp
esta me permite pasar por el puerto 143 desde cualquier ip con la que yo 
venga



route inside 10.1.2.0 http://10.1.2.0 255.255.255.0 
http://255.255.255.0 10.1.1.1 http://10.1.1.1 2
y esta no tengo mucha idea, pero creo que me routea lo que venga desde 
la sub red 10.1.2.x para la ip 10.1.1.1.. pero no lo tengo bien claro.



les comento que lo que tengo configurado es una red con DMZ, osea, tengo 
mi red interna, con las sub-redes 10.1.1.x, 10.1.2.x, etc, luego tengo 
el firewall cisco que es el que quiero cambiar, tengo la DMZ, en la sub 
red 10.254.0.x, y un firewall externo entre la DMZ y el resto del mundo.







--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]