[eSlack] Problema con routing en un Slackware 10.2
Maxnux
maxnux at yahoo.com.ar
Tue Feb 6 21:59:16 CET 2007
Huy modificar ese script me parece que es mas trabajo que hacer uno mas
simple de nuevo
te paso algo de simple
si te sirve despues le agregas lo demas
desculpa que no me explaye lo suficiente pero ando justo de tiempo ahora
saludos
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward
#eth0 local
#eth1 Internet
#eth2 Internet 2
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
#PAQUETES ENTRANTES
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # acepto HTTP
#acepto ssh no mas de una conexcion cada 45 segundos desde el mismp ip
iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m
recent --update --seconds 45 -j DROP
iptables -A INPUT -i eth1 -p tcp -m state --state NEW --dport 22 -m
recent --set -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT #Acepto smtp
#iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT # acepto https
#iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #acepto dns
#iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #acepto dns
#iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT #acepto pop3
#iptables -A INPUT -i eth1 -p icmp -j ACCEPT
#REDIRECIONANDO HTTP
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
#PERMITIENDO FORWARD
#iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -j REJECT para
prevenir que alguien #mande mails directamente , por ej los virus
# Acepto forward de salida
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -s 192.168.1.0/255.255.255.0 -j ACCEPT
#Acepto forward entrante de conexiones ya establesidas
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED
-j ACCEPT
#Aceptas forward nuveos al puerto 3389
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 3389 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
# HACIENDO IP SNAT
iptables -t nat -A POSTROUTING -s 192.168.1.70 -o eth1 -j SNAT --to
"ip-eth1-internet"
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to "ip-eth2-internet"
# HACIENDO IP DNAT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3389 -j DNAT --to
192.168.1.50
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 3389 -j DNAT --to
192.168.1.70
CEduardo® escribió:
> Hola como vas, es un script preconfigurado, donde solo he modificado
> la inicialización de las variables al principio del programa y al
> final donde coloco unas reglas de iptables.
> Ahi les va el archivo rc.firewall.
> Graicas.
> El 6/02/07, Maxnux <maxnux en yahoo.com.ar> escribió:
>> hola que estas usando un archivo que creaste vos o algun script
>> preconfigurado???
>>
>> tambien es probable ademas tengas que permitir el forward si este esta
>> denegado por defecto , lo que vos hiciste esta bien
>>
>> saludos si quers pasa el archivo de firewall y lo miramos
>>
>>
>> CEduardo(r) escribió:
>> > De antemano gracias a todos por su tiempo y colaboración.
>> > Tengo una maquina con 3 tarjetas y están distribuidas así:
>> >
>> > Eth0 IP PUBLICA XXX.YY.UU.90
>> > Eth1 IP PUBLICA XXX.YY.UU.80
>> > Eth2 IP LAN 192.168.1.1
>> >
>> > Tengo en esta maquina montado un servidor DHCP, servidor Postfix de
>> > correo, IPTables, entre otros.
>> >
>> > Tengo en un script "rc.firewall" que esta en "/etc/rc.d".
>> > Teniendo todo este preludio se monto un servidor Windows Server 2003
>> > con se servicio de Terminal services y se programo en el archivo
>> > rc.firewall una regla que hace que todo lo que venga por la ip publica
>> > por la eth1 con puesto 3389(Puerto de Terminal services) se
>> > redirecciones a la maquina dentro de nuestra LAN que presta este
>> > servicio, según lo que he entendido del script esto se da por la
>> > siguiente linea al final de mismo:
>> >
>> > ${IPTABLES} -t nat -I PREROUTING -p TCP -i eth1 -d XXX.YY.UU.90
>> > --dport 3389 -j DNAT --to-destination 192.168.1.50:3389
>> >
>> >
>> > Ahora que tengo mi otra tarjeta y montada "eth0" con la IP
>> > XXX.YY.UU.80 y que se necesita hacer lo mismo para el caso anterior
>> > pero con otra maquina 192.168.70:3389, dije –"Ha solo es hacer esto al
>> > final del rc.firewall"
>> >
>> > ${IPTABLES} -t nat -I PREROUTING -p TCP -i eth0 -d XXX.YY.UU.88
>> > --dport 3389 -j DNAT --to-destination 192.168.1.70:3389
>> >
>> > !Y no funciona¡, se desconecta de Internet
>> >
>> > Analizando el script, vi que al inicio de este esta esto
>> > INET_IFACE="eth1"
>> > LAN_IFACE="eth2"
>> >
>> > Esta variable INET_IFACE es usada para la configuración y no se como
>> > hacer para meterle la eth0 y que aplique las reglas definidas,
>> > entonces hábilmente hice INET_IFACE="eth1 eth0" ¡Y PEOR, KBUN¡
>> >
>> > ¿Cómo puedo lograr que las tarjetas eth0 y eth1 funcionen
>> > redireccionando cada una a una maquina distinta, es decir cuando se
>> > dijite La IP publica del eth0 se valla para la maquina
>> > 192.168.1.70:3389 y cuando se dijite la IP de la eth1 se redireccione
>> > a la 192.168.1.50:3389?
>> >
>> >
>> >
>> >
>>
>> _______________________________________________
>> eSlack mailing list
>> eSlack en lists.eslack.org
>> http://lists.eslack.org/mailman/listinfo/eslack
>>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> eSlack mailing list
> eSlack en lists.eslack.org
> http://lists.eslack.org/mailman/listinfo/eslack
>
More information about the eSlack mailing list