[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]hola lista estoy levantando mi firewall y mi encontre por ahi un manualillo de Iptables por Pello, en el cual vienen unos buenos ejemplos, mi duda es al siguiente por mas que trato de direccionar a un servidor dentro de Mi lan no lo consigo, les envio el script completo, el cual me gusta que me permite bloquear Kazaa, permitiendo unicamente que consultes paginas Web, correos pop3 y DNScualquier ayuda se las agradezco de antemano Atte Gustavo Reynaga #SCRIPT de IPTABLES ## script para firewall entre una red local e Internet ## con filtro para que solo se pueda navegar. echo -n Aplicando Reglas de Firewall.... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos # a una maquina interna iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80 ## Nota: eth0 es el interfaz conectado al router o gateway y eth1 a la LAN ## eth0= ethernet 0 ##El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT ##Abrimos el puerto de correo SMPT #iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT ## Ahora con regla FORWARD filtramos el acceso de la red local ## al exterior. Como se explica antes, a los paquetes que no van dirigidos al ## propio firewall se les aplican reglas de FORWARD ## permitimos a nuestro jefe visualizar pánas sin ninguna restriccion iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.100 -p udp --dport 1:65535 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.100 -p tcp --dport 1:65535 -j ACCEPT # Aceptamos que vayan a puertos 80 iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT # Aceptamos que vayan a puertos https iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -I FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT ##Y denegamos el resto. Si se necesita alguno, para una aplicación especial deberemos ##de investigar que puertos TCP o UDP necesita. ## y asi para cada servicio que se necesite, ver el archive bajo /etc/services, donde está ## listados los puertos y servicios bien conocidos iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP -->Segun yo el problema es la linea de arriba ya que cierro todo # Ahora hacemos enmascaramiento de la red local # y activamos el BIT DE FORWARDING (imprescindible!!!!!) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE # Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras computadoras puedan salir a travédel firewall. echo 1 > /proc/sys/net/ipv4/ip_forward ## Y ahora cerramos los accesos indeseados del exterior: # Nota: 0.0.0.0/0 significa: cualquier red ## Cerramos el rango de puerto bien conocido iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP ## Cerramos el puerto de gestióara Webmin desde el exterior #iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP ##Ruteamos el trafico del puerto 80 al 3128 ##Recuerda que tu servidor Squid debe estar correctamente configurado y escuchando peticiones ## en el puerto 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 echo " OK . Verifique que lo que se aplica con: iptables -L -n o iptables -L -n -t nat " # Fin del script __________________________________ Do you Yahoo!? Yahoo! Mail is new and improved - Check it out! http://promotions.yahoo.com/new_mail