Ir al contenido
Conéctate para seguir esto  
juaniniargentona

Firewall con iptables

Publicaciones recomendadas

Hola a todos,

Les explico:

Tengo montado un enrutador debian 4, que hace de proxy, etc. Después de configurarle una serie de accessos a unas redes determinadas, he decidido ponerle un firewall, pero aquí surgen los problemas.

Mi topologia es la siguiente:

LAN-----[eth2]Firewall[eth0]-----Internet

La red de la lan es la siguiente: 192.168.111.0/24 y la de internet 192.168.31.0/24.

Para empezar a configurar el firewall, me he decantado inicialmente por la politica de cerrarlo todo e ir abriendo con el tiempo (para tener máxima seguridad), por lo tanto tengo el siguiente script ya hecho y funcionando bien:

iptables -F

iptables -X

iptables -Z

iptables -t nat -F

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth0 -j MASQUEARDE

iptables -A INPUT -s 192.168.111.0/24 -j ACCEPT

iptables -A OUTPUT -d 192.168.111.0/24 -j ACCEPT

Hasta aquí llego, es decir des de la LAN tengo conectividad al Proxy-firewall para su gestión.

Ahora quiero permitir las conexiones de los host de la lan a Internet (puertos 80 y 443, messenger 1863, etc.)

Pero he leido en varios sitios como hacerlo y en cada uno de ellos lo explica de una manera y he probado de casi todas formas y ninguno funciona...:

iptables -A FORWARD -s 192.168.111.0/24 -d 0.0.0.0/0 -j ACCEPT

iptables -A FORWARD -s 0.0.0.0/0 -p tcp --sport 80 -d 192.168.111.0/24 -j ACCEPT

iptables -A FORWARD -s 0.0.0.0/0 -p tcp --sport 443 -d 192.168.111.0/24 -j ACCEPT

iptables -A FORWARD -s 0.0.0.0/0 -p tcp --sport 1863 -d 192.168.111.0/24 -j ACCEPT.

Alguien sabe donde puede estar el error???

se lo agradeceria mucho a todos.

Muchas gracias y hasta pronto.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Todo lo que se NATea se filtra en FORWARD hasta ahí todo bien, eliges la chain de la tabla filter correcta para el trafico que quieres permitir (trafico de la LAN hacia internet y de internet hacia la LAN) ... pero ... en todas las reglas de FORWARD te aconsejo que añadas cual es el interfaz de entrada o de salida (o ambas si es necesario) para que asi entienda que puertos son de origen (--sport) y cuales de destino (--dport).

Sin añadir -i eth0 ó -o eth0 ó similares no iran esas reglas que has puesto.

Y por otro lado, al tener la politica de FORWARD a DROP tienes que poner dos reglas por conexión, una para los paquetes salientes y otra para los paquetes entrantes.

Ejemplo: para dejar tener trafico web (http = tcp 80 y https = tcp 443) a las maquinas de la LAN

iptables -A FORWARD -i eth2 -p tcp --dport 80 -j ACCEPT # trafico saliente

iptables -A FORWARD -i eth0 -p tcp --sport 80 -j ACCEPT # trafico entrante


iptables -A FORWARD -i eth2 -p tcp --dport 443 -j ACCEPT # trafico saliente

iptables -A FORWARD -i eth0 -p tcp --sport 443 -j ACCEPT # trafico entrante

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
Conéctate para seguir esto  

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.