IPtables

TCP/IP, enrutamiento, firewalls, NAT, monitoreo.

Moderadores: frank, dxfiles

Avatar de Usuario
fVckingmania.hell
Mensajes: 549
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: /usr/src/yo.tar.bz2

IPtables

Mensaje por fVckingmania.hell » Lun, 23 Ene 2012, 09:15

Forer@s como es posible en iptables redirigir el trafico completo de una PC de mi LAN a internet, o sea, lo que quiero es que cuando mi servidor de correo vaya a entregar los correos que vaya a salir por el FireWall (que su gateway) salga sin problema, ninguno. La parte de la entrada ya la tengo solucionada redirigiendo el puerto 25 para la IP interna.

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: IPtables

Mensaje por hugo » Lun, 23 Ene 2012, 11:53

Si la IP de tu servidor de correo es estática me parece que tienes que configurar una regla SNAT en el cortafuegos, por ejemplo:

Código: Seleccionar todo

IPEXTERNA=169.158.100.200
IPMAILSVR=192.168.1.2
iptables -t nat -A POSTROUTING -s $IPMAILSVR -o eth0 -p tcp --sport 25 -j SNAT --to-source $IPEXTERNA
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

jfelix
Mensajes: 8
Registrado: Mar, 25 Oct 2011, 12:44

Re: IPtables

Mensaje por jfelix » Sab, 10 Mar 2012, 08:41

Hermano yo el miio lo tengo asi,

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 201.220.203.243:25

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Mié, 04 Abr 2012, 12:36

Bueno yo tengo un problem, las solicitudes ping que hago a nombres de dominio no me responden, sin embargo cualquier peticiOn web que hago mi squid la resuelve.
esta es mi configuraciOn del iptables:

Código: Seleccionar todo

 # Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
# Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
# Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j REJECT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j REJECT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp -s 192.168.0.71 --dport 22 -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Respond to pings
-A INPUT -p icmp -m icmp --icmp-type echo-request -j REJECT
# Allow DNS zone transfers
-A INPUT -p tcp -m tcp --dport 53 -j REJECT
# Allow DNS queries
-A INPUT -p udp -m udp --dport 53 -j REJECT
# Allow connections to webserver
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Allow SSL connections to webserver
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Allow connections to mail server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 25,587
# Allow connections to FTP server
-A INPUT -p tcp -m tcp --dport 20:21 -j REJECT
# Allow connections to POP3 server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 110,995
# Allow connections to IMAP server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 143,220,993
# Allow connections to Webmin
-A INPUT -p tcp -m tcp --dport 10000:10010 -j ACCEPT
# Allow connections to Usermin
-A INPUT -p tcp -m tcp --dport 20000 -j REJECT
# Allow connections to http-proxy
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
debo configurar alguna regla de reenvio para que funcionen.

Avatar de Usuario
fVckingmania.hell
Mensajes: 549
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: /usr/src/yo.tar.bz2

Re: IPtables

Mensaje por fVckingmania.hell » Mié, 04 Abr 2012, 15:45

haber lo primero que tienes que decir es desde donde es que haces los ping, si es desde el mismo proxy entonces, mira a ver si puedes hacer ping directamente a la IP. Si es desde otra PC tienes que ver que servidor DNS tiene establecido el Squid y cual tiene la PC de la cual estas haciendo ping (esto esta en /etc/resolv.conf)

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Jue, 05 Abr 2012, 10:59

bueno, la cuestión es que da lo mismo que el ping lo haga desde el proxy o desde las pc de la red local, la respuesta siempre es que la solicitud de ping no pudo encontral el host algo.algo.algo

fVckingmania.hell en el resolv.conf de mi proxy pues tengo la ip de mi dns local así como las ip de los servidores dns de infomed (la red a la que pertenezco)

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Jue, 05 Abr 2012, 11:38

otra cosa, dejando solamente en el resolv.conf las ips de los dns externos, las peticiones http se resuelven aunque las solicitudes ping siguen mal, si pongo en el resolv.con solamente la ip del servidor dns de mi red local no funciona (el squid me indica que el servidor dns está loco pal ca....), es decir que mi dns local no resuelva a nadie de afuera.

Avatar de Usuario
fVckingmania.hell
Mensajes: 549
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: /usr/src/yo.tar.bz2

Re: IPtables

Mensaje por fVckingmania.hell » Jue, 05 Abr 2012, 15:06

Entonces lo primero que debes revisar es tu DNS. Fijate en la configuracion de la red (/etc/network/interfaces) que servidor DNS tienes establecido alli, si es el tuyo, bueno cambialo y pon uno de afuera haber que pasa, si resuelve entonces no te queda de otra que arreglar tu DNS

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: IPtables

Mensaje por hugo » Lun, 09 Abr 2012, 16:46

Bueno, tu script de iptables tiene una entrada que está rechazando los paquetes de respuesta al comando ping:

Código: Seleccionar todo

-A INPUT -p icmp -m icmp --icmp-type echo-reply -j REJECT
De manera que en teoría cambiando REJECT por ACCEPT debería funcionarte el ping. Digo en teoría porque hay algunos proveedores que bloquean el protocolo ICMP, es decir que si intentas hacer ping hacia afuera de tu red, no obtendrás respuesta aunque tu tengas el protocolo habilitado en tu cortafuegos. Tienes que probar.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Mar, 10 Abr 2012, 09:48

hugo, la verdad es que eso tambiEn lo cambiE, aceptando todas las solicitudes icmp y nada.

hugo, yo no se mucho de configuraciOn de iptables pero sigo pensando que debo configurar alguna regla de reenvIo de paquetes, al menos para los que no tienen nada que ver con mi red local, aunque mirando la propia configuraciOn de iptables que expongo creo que ya tiene configurado el reenvIo de paquetes.

de echo las reglas de iptables, las configuro a travEs del webmin y aunque tiene un formulario que permite "customizar" una regla todo lo que desees, no me agrada.

Responder