De Firehol a Iptables?

[hugo]

Iptables puede generar logs pero el colega recien se inicia en el y no quise complicarle las cosas.

[JuancaDJ]

Nada sin solucion, y si desde la PC donde esta el firewall me conecto sin problemas a los servicios del servidor padre
El tema esta en la LAN ellos no llegan a ningun lado, me sigue diciendo connection refused lo que significa que mi firewall esta denegando esa peticion
Sigo pregunta que si no es necesario abrir esos puertos y luego hacerles forward?
Pues cuando usaba windows, eso se podia hacer mediante CCProxy usando la parte del portmap, ahi ponias puerto loca, ip de destino y puerto de destino, protocolo que se usaria, quiero hacer eso mismo pero en linux y nada de nada aun

[hugo]

A menos que tu propio servidor esté proporcionando servicios por esos puertos, no tienes por que abrirlos. Con FORWARD deberías haber resuelto.

Ejecuta el siguiente comando:

Código: Seleccionar todo

lsmod | grep ftp

Deberían aparecerte dos entradas: ip_nat_ftp e ip_conntrack_ftp, sin estos modulos de iptables no creo que pueda hacerse reenvio de FTP, asi que podrías activarlos manualmente y probar que sucede:

Código: Seleccionar todo

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

[JuancaDJ]

Habilite los módulos que me dijsite pues estaban deshabilitados y esto es lo que obtengo una vez habilitados

Código: Seleccionar todo

# lsmod |grep ftp
nf_nat_ftp             12420  0
nf_conntrack_ftp       12533  1 nf_nat_ftp
nf_nat                 17924  3 iptable_nat,ipt_MASQUERADE,nf_nat_ftp
nf_conntrack           43121  7 nf_conntrack_ipv4,nf_nat,iptable_nat,xt_state,ipt_MASQUERADE,nf_conntrack_ftp,nf_nat_ftp

pero sigo sin resultados

[hugo]

Tengo curiosidad, cual es el resultado de este comando?

Código: Seleccionar todo

modinfo nf_{nat_ftp,nat,conntrack_ftp,conntrack}

De todas maneras como una via mas de diagnosticar y dado que el acceso de los clientes seria a direcciones ips fijas, podrias utilizar las reglas de forward sin hacer referencia al estado, a ver que ocurre, aunque en ese caso probablemente tengas problemas con los puertos altos.

[JuancaDJ]

Resultado del comando:

Código: Seleccionar todo

ERROR: Module alias nf_{nat_ftp,nat,conntrack_ftp,conntrack} not found.

Y con respecto a esta parte:
"podrias utilizar las reglas de forward sin hacer referencia al estado" pues ya ahi si me perdi no se lo que quieres decirme que haga

[hugo]

OK prueba sin expansión:

Código: Seleccionar todo

modinfo nf_nat_ftp  nf_nat  nf_conntrack_ftp  nf_conntrack

La referencia es al estado de conexión, es decir intenta usando esto:

Código: Seleccionar todo

iptables -A FORWARD -i eth1 -o eth0 -d x.x.x.x -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -d x.x.x.x -p tcp -m tcp --dport 5222:5223 -j ACCEPT

[JuancaDJ]

Bien esto es lo que obtuve con el comando que me diste:

Código: Seleccionar todo

# modinfo nf_nat_ftp nf_nat nf_conntrack_ftp nf_conntrack
filename:       /lib/modules/3.2.0-4-686-pae/kernel/net/ipv4/netfilter/nf_nat_ftp.ko
alias:          ip_nat_ftp
description:    ftp NAT helper
author:         Rusty Russell <rusty@rustcorp.com.au>
license:        GPL
depends:        nf_conntrack_ftp,nf_conntrack,nf_nat
intree:         Y
vermagic:       3.2.0-4-686-pae SMP mod_unload modversions 686
filename:       /lib/modules/3.2.0-4-686-pae/kernel/net/ipv4/netfilter/nf_nat.ko
alias:          nf-nat-ipv4
license:        GPL
depends:        nf_conntrack,nf_conntrack_ipv4
intree:         Y
vermagic:       3.2.0-4-686-pae SMP mod_unload modversions 686
filename:       /lib/modules/3.2.0-4-686-pae/kernel/net/netfilter/nf_conntrack_ftp.ko
alias:          nfct-helper-ftp
alias:          ip_conntrack_ftp
description:    ftp connection tracking helper
author:         Rusty Russell <rusty@rustcorp.com.au>
license:        GPL
depends:        nf_conntrack
intree:         Y
vermagic:       3.2.0-4-686-pae SMP mod_unload modversions 686
parm:           ports:array of ushort
parm:           loose:bool
filename:       /lib/modules/3.2.0-4-686-pae/kernel/net/netfilter/nf_conntrack.ko
license:        GPL
depends:
intree:         Y
vermagic:       3.2.0-4-686-pae SMP mod_unload modversions 686
parm:           tstamp:Enable connection tracking flow timestamping. (bool)
parm:           acct:Enable connection tracking flow accounting. (bool)
parm:           expect_hashsize:uint

Y poniendo las reglas de iptables tal y como me dices aca, sigo sin solucion"" Conection refused"

[hugo]

Chico, yo veo que todos los módulos necesarios están en el árbol de módulos y aparentemente se cargan correctamente.

De modo que solo me queda pensar que algún detalle tienes mal con tus reglas, asi que suponiendo que el servidor 172.16.1.2 es donde están los servicios FTP, XMPP y el SMTP que envía al tuyo los correos, te propongo que pruebes esto tal cual a ver si por lo menos puedes acceder al jabber, y después lo ajustas:

Código: Seleccionar todo

#! /bin/sh

# INTERFACES Y DIRECCIONES
IFINT=eth1
IFEXT=eth0
REDLOCAL=192.168.0.0/24
SERVIDORPADRE=172.16.1.2

# FLUSH Y POLITICAS POR DEFECTO
iptables -t nat -X
iptables -t nat -F
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P INPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -X
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ENMASCARAMIENTO
iptables -t nat -A POSTROUTING -o ${IFEXT} -j MASQUERADE

# REGLAS PRELIMINARES
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNS
iptables -A INPUT -p udp -m udp --dport 53 -m state --state NEW  -j ACCEPT

# ICMP
iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -m hashlimit --hashlimit-mode srcip --hashlimit-upto 12/minute --hashlimit-name LIM_PING -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT

# SMTP
iptables -A INPUT -i ${IFEXT} -s ${SERVIDORPADRE} -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT

# NAVEGACION Y PROXY
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ${IFINT} -s ${REDLOCAL} -p tcp -m tcp --dport 3128 -m state --state NEW -j ACCEPT

# REDIRECCION DE FTP Y JABBER
iptables -A FORWARD -i ${IFINT} -o ${IFEXT} -s ${REDLOCAL} -d ${SERVIDORPADRE} -p tcp -m tcp --dport 21 -m state --state NEW --j ACCEPT
iptables -A FORWARD -i ${IFINT} -o ${IFEXT} -s ${REDLOCAL} -d ${SERVIDORPADRE} -p tcp -m tcp --dport 5222:5223 -m state --state NEW --j ACCEPT

# HACER LAS REGLAS PERSISTENTES (el paquete iptables-persistent debe estar instalado)
iptables-save > /etc/iptables/rules.v4

# LIMPIAR VARIABLES
unset SERVIDORPADRE REDLOCAL IFEXT IFINT

exit 0

[JuancaDJ]

Bueno hugo nuevamente sigo sin resultados, aplique tu script, y sigue conection refused, tanto para el jabber como para el ftp y no es mi servidor padre ya que este si esta brindado servicio bien, es mi firewall, que esta bloqueando esas peticiones
alguna forma de ir mas directo al grano?, habilitar logs o donde estan los logs para visualizar a ver si ellos arrojan algo porque la verdad que esto pinta feo