IPtables
- fVckingmania.hell
- Mensajes: 549
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /usr/src/yo.tar.bz2
IPtables
Forer@s como es posible en iptables redirigir el trafico completo de una PC de mi LAN a internet, o sea, lo que quiero es que cuando mi servidor de correo vaya a entregar los correos que vaya a salir por el FireWall (que su gateway) salga sin problema, ninguno. La parte de la entrada ya la tengo solucionada redirigiendo el puerto 25 para la IP interna.
Re: IPtables
Si la IP de tu servidor de correo es estática me parece que tienes que configurar una regla SNAT en el cortafuegos, por ejemplo:
Código: Seleccionar todo
IPEXTERNA=169.158.100.200
IPMAILSVR=192.168.1.2
iptables -t nat -A POSTROUTING -s $IPMAILSVR -o eth0 -p tcp --sport 25 -j SNAT --to-source $IPEXTERNA
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke
- Edmund Burke
Re: IPtables
Hermano yo el miio lo tengo asi,
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 201.220.203.243:25
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 201.220.203.243:25
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
- frizquierdo10
- Mensajes: 36
- Registrado: Mié, 13 Oct 2010, 12:49
Re: IPtables
Bueno yo tengo un problem, las solicitudes ping que hago a nombres de dominio no me responden, sin embargo cualquier peticiOn web que hago mi squid la resuelve.
esta es mi configuraciOn del iptables:
debo configurar alguna regla de reenvio para que funcionen.
esta es mi configuraciOn del iptables:
Código: Seleccionar todo
# Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
# Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
# Generated by iptables-save v1.4.2 on Wed Mar 21 16:37:30 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j REJECT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j REJECT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp -s 192.168.0.71 --dport 22 -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Respond to pings
-A INPUT -p icmp -m icmp --icmp-type echo-request -j REJECT
# Allow DNS zone transfers
-A INPUT -p tcp -m tcp --dport 53 -j REJECT
# Allow DNS queries
-A INPUT -p udp -m udp --dport 53 -j REJECT
# Allow connections to webserver
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Allow SSL connections to webserver
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Allow connections to mail server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 25,587
# Allow connections to FTP server
-A INPUT -p tcp -m tcp --dport 20:21 -j REJECT
# Allow connections to POP3 server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 110,995
# Allow connections to IMAP server
-A INPUT -p tcp -m tcp -m multiport -j REJECT --dports 143,220,993
# Allow connections to Webmin
-A INPUT -p tcp -m tcp --dport 10000:10010 -j ACCEPT
# Allow connections to Usermin
-A INPUT -p tcp -m tcp --dport 20000 -j REJECT
# Allow connections to http-proxy
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
COMMIT
# Completed on Wed Mar 21 16:37:30 2012
- fVckingmania.hell
- Mensajes: 549
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /usr/src/yo.tar.bz2
Re: IPtables
haber lo primero que tienes que decir es desde donde es que haces los ping, si es desde el mismo proxy entonces, mira a ver si puedes hacer ping directamente a la IP. Si es desde otra PC tienes que ver que servidor DNS tiene establecido el Squid y cual tiene la PC de la cual estas haciendo ping (esto esta en /etc/resolv.conf)
- frizquierdo10
- Mensajes: 36
- Registrado: Mié, 13 Oct 2010, 12:49
Re: IPtables
bueno, la cuestión es que da lo mismo que el ping lo haga desde el proxy o desde las pc de la red local, la respuesta siempre es que la solicitud de ping no pudo encontral el host algo.algo.algo
fVckingmania.hell en el resolv.conf de mi proxy pues tengo la ip de mi dns local así como las ip de los servidores dns de infomed (la red a la que pertenezco)
fVckingmania.hell en el resolv.conf de mi proxy pues tengo la ip de mi dns local así como las ip de los servidores dns de infomed (la red a la que pertenezco)
- frizquierdo10
- Mensajes: 36
- Registrado: Mié, 13 Oct 2010, 12:49
Re: IPtables
otra cosa, dejando solamente en el resolv.conf las ips de los dns externos, las peticiones http se resuelven aunque las solicitudes ping siguen mal, si pongo en el resolv.con solamente la ip del servidor dns de mi red local no funciona (el squid me indica que el servidor dns está loco pal ca....), es decir que mi dns local no resuelva a nadie de afuera.
- fVckingmania.hell
- Mensajes: 549
- Registrado: Sab, 07 Ago 2010, 14:09
- Ubicación: /usr/src/yo.tar.bz2
Re: IPtables
Entonces lo primero que debes revisar es tu DNS. Fijate en la configuracion de la red (/etc/network/interfaces) que servidor DNS tienes establecido alli, si es el tuyo, bueno cambialo y pon uno de afuera haber que pasa, si resuelve entonces no te queda de otra que arreglar tu DNS
Re: IPtables
Bueno, tu script de iptables tiene una entrada que está rechazando los paquetes de respuesta al comando ping:
De manera que en teoría cambiando REJECT por ACCEPT debería funcionarte el ping. Digo en teoría porque hay algunos proveedores que bloquean el protocolo ICMP, es decir que si intentas hacer ping hacia afuera de tu red, no obtendrás respuesta aunque tu tengas el protocolo habilitado en tu cortafuegos. Tienes que probar.
Código: Seleccionar todo
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j REJECT
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke
- Edmund Burke
- frizquierdo10
- Mensajes: 36
- Registrado: Mié, 13 Oct 2010, 12:49
Re: IPtables
hugo, la verdad es que eso tambiEn lo cambiE, aceptando todas las solicitudes icmp y nada.
hugo, yo no se mucho de configuraciOn de iptables pero sigo pensando que debo configurar alguna regla de reenvIo de paquetes, al menos para los que no tienen nada que ver con mi red local, aunque mirando la propia configuraciOn de iptables que expongo creo que ya tiene configurado el reenvIo de paquetes.
de echo las reglas de iptables, las configuro a travEs del webmin y aunque tiene un formulario que permite "customizar" una regla todo lo que desees, no me agrada.
hugo, yo no se mucho de configuraciOn de iptables pero sigo pensando que debo configurar alguna regla de reenvIo de paquetes, al menos para los que no tienen nada que ver con mi red local, aunque mirando la propia configuraciOn de iptables que expongo creo que ya tiene configurado el reenvIo de paquetes.
de echo las reglas de iptables, las configuro a travEs del webmin y aunque tiene un formulario que permite "customizar" una regla todo lo que desees, no me agrada.