IPtables

TCP/IP, enrutamiento, firewalls, NAT, monitoreo.

Moderadores: frank, dxfiles

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: IPtables

Mensaje por hugo » Mar, 10 Abr 2012, 11:40

Bueno, el cambio que sugerí es para la PC donde está el cortafuegos. Prueba primero desde ahi, y si no recibes los echo-reply ahi, evidentemente tampoco los recibirás en las otras PCs.

De hecho, podrías incluso limpiar todas las reglas y cargar temporalmente unas políticas permisivas, a ver si realmente es un problema causado por reglas o hay dificultades "más arriba":

Código: Seleccionar todo

IPT=$(which iptables)
$IPT -t raw -F
$IPT -t raw -P PREROUTING ACCEPT
$IPT -t raw -P OUTPUT ACCEPT
$IPT -t raw -Z
$IPT -t mangle -F
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P INPUT ACCEPT
$IPT -t mangle -P FORWARD ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
$IPT -t mangle -P POSTROUTING ACCEPT
$IPT -t mangle -Z
$IPT -t nat -F
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -Z
$IPT -F
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -Z
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Mar, 10 Abr 2012, 13:57

Desde el cortafuego si recibo las respuestas a las solicitudes ping , es desde las pc de la red local el problema.

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: IPtables

Mensaje por hugo » Mar, 10 Abr 2012, 14:31

Prueba agregando esto:

Código: Seleccionar todo

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Avatar de Usuario
frizquierdo10
Mensajes: 36
Registrado: Mié, 13 Oct 2010, 12:49

Re: IPtables

Mensaje por frizquierdo10 » Mar, 10 Abr 2012, 15:02

hugo, agregué una regla a la cadena de forward que permite el reenvío de cualquier petición icmp con límite 1/second y nada, muy semejante a las que me indicas, de hecho mas libertina.
desde el firewall todas las peticiones funcionan correctamente. todo se resuelve.
pero desde las pc de la red local los ping nada de nada.

Avatar de Usuario
hugo
Mensajes: 1430
Registrado: Sab, 07 Ago 2010, 14:09
Ubicación: La Habana
Contactar:

Re: IPtables

Mensaje por hugo » Mar, 10 Abr 2012, 15:57

Asumiendo que las PC no tengan sus propias reglas que impiden esto, pruebalo entonces con un script en limpio solo con las reglas de forward e icmp para descartar posibles problemas entre reglas.
Lo único que necesita el mal para triunfar es que los hombres buenos no hagan nada.
- Edmund Burke

Responder