[Sop.Tec.LinuxPPP] Ayuda Urgente

To: linux en linuxppp com
Subject: [Sop.Tec.LinuxPPP] Ayuda Urgente
From: Gustavo Reynaga <greynaga_ii en yahoo com>
Date: Tue, 15 Jun 2004 13:24:03 -0700 (PDT)
List-archive: <http://mail.linuxppp.com/pipermail/linux/>
List-help: <mailto:linux-request@linuxppp.com?subject=help>
List-id: Soporte Tecnico LinuxPPP <linux.linuxppp.com>
List-post: <mailto:linux@linuxppp.com>
List-subscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=subscribe>
List-unsubscribe: <http://mail.linuxppp.com/mailman/listinfo/linux>, <mailto:linux-request@linuxppp.com?subject=unsubscribe>
Reply-to: linux en linuxppp com
Sender: linux-admin en linuxppp com

hola lista estoy levantando mi firewall y mi encontre
por ahi un manualillo de Iptables por Pello, en el
cual vienen unos buenos ejemplos, mi duda es al
siguiente por mas que trato de direccionar a un
servidor dentro de Mi lan no lo consigo, les envio el
script completo, el cual me gusta que me permite
bloquear Kazaa, permitiendo unicamente que consultes
paginas Web, correos pop3 y DNScualquier ayuda se las
agradezco de antemano
Atte Gustavo Reynaga

#SCRIPT de IPTABLES
## script para firewall entre una red local e Internet
## con filtro para que solo se pueda navegar.
echo -n Aplicando Reglas de Firewall....

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
# Todo lo que venga por el exterior y vaya al puerto
80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
80 -j DNAT --to-destination 192.168.1.10:80
## Nota: eth0 es el interfaz conectado al router o
gateway y eth1 a la LAN
## eth0= ethernet 0
##El localhost se deja (por ejemplo conexiones locales
a mysql)

iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT

##Abrimos el puerto de correo SMPT
#iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j
ACCEPT

## Ahora con regla FORWARD filtramos el acceso de la
red local
## al exterior. Como se explica antes, a los paquetes
que no van dirigidos al
## propio firewall se les aplican reglas de FORWARD
## permitimos a nuestro jefe visualizar pÃ¡nas sin
ninguna restriccion

iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.100
-p udp --dport 1:65535 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.100
-p tcp --dport 1:65535 -j ACCEPT

# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 443 -j ACCEPT

# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp
--dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp
--dport 53 -j ACCEPT

iptables -I FORWARD -i eth0 -o eth1 -p tcp --dport 80
-j ACCEPT

##Y denegamos el resto. Si se necesita alguno, para
una aplicaciÃ³n especial deberemos
##de investigar que puertos TCP o UDP necesita.
## y asi para cada servicio que se necesite, ver el
archive bajo /etc/services, donde estÃ¡
## listados los puertos y servicios bien conocidos 
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP
-->Segun yo el problema es la linea de arriba ya que
cierro todo
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING
(imprescindible!!!!!)

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o
eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el
firewall, o sea
# que otras computadoras puedan salir a travÃ©del
firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del
exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

## Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024
-j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024
-j DROP

## Cerramos el puerto de gestiÃ³ara Webmin desde el
exterior
#iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000
-j DROP

##Ruteamos el trafico del puerto 80 al 3128
##Recuerda que tu servidor Squid debe estar
correctamente configurado y escuchando peticiones 
## en el puerto 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128
echo " OK . Verifique que lo que se aplica con:
iptables -L -n o iptables -L -n -t nat "
# Fin del script




		
__________________________________
Do you Yahoo!?
Yahoo! Mail is new and improved - Check it out!
http://promotions.yahoo.com/new_mail

Mensaje(s) a continuación:
- [Sop.Tec.LinuxPPP] Controlador para tarjeta de red inalambrica cnwl-311
  - De: Romeo Gutierrez Váquez

Previo por Fecha: [Sop.Tec.LinuxPPP] Boletin de Seguridad UNAM-CERT 2004-011
Siguiente por Fecha: [Sop.Tec.LinuxPPP] Controlador para tarjeta de red inalambrica cnwl-311
Previo por Hilo: [Sop.Tec.LinuxPPP] Boletin de Seguridad UNAM-CERT 2004-011
Siguiente por Hilo: [Sop.Tec.LinuxPPP] Controlador para tarjeta de red inalambrica cnwl-311

[Hilos de Discusión] [Fecha] [Tema] [Autor]