IPTABLES

Imagen de Tonny

Forums: 

Que tal amigos.
Tengo un script con algunas reglas, bloquean algunos puertos, enmascaran la red y redireccionan otros puertos, lo tenia funcionando perfectamente y no habia ningun problema,de pronto esas reglas ya no aplican es decir ninguna regla de firewall funciona, lo unico que recuerdo haber echo es desinstalar el bind y agrege una tarjeta de red nueva , nada mas es necesario reconfigurar iptables o algo cuando agregas una nueva tarjeta, porque ahora a la red local me conecto con la tarjeta nueva.

Me olvidaba

Imagen de Tonny

utilizo debian
eth0 se conecta al adsl (dlink pci 10/100)
eth1 se conecta a la red local (dlink pci 10/100)
eth2 desactivado es la que viene en el mainboard

La nueva tarjeta de red es

Imagen de damage

Mira bien que tienes en /etc/sysconfig/network-script/ifcfg:ethx, pero si en realidad estas accediendo por una nueva nic y esta es diferente a eth1 como puede ser eth2 o eth1:0, debes reconfigurar tu script

Keep The Fire Burning.....
Stryper 1988

En Debian debe editar

Imagen de RazaMetaL

En Debian debe editar /etc/network/interfaces

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Entiendo lo que me dices,

Imagen de Tonny

Entiendo lo que me dices, pero por muchos motivos decidi reinstalar el sistema operativo otra vez entonces la configuracion que explico antes es como detecto las interfaces de red mi nuevo debian.
Lo que no entiendo es porq ahora no funciona el script sino le hice ningun cambio y en el script se especifican las interfaces eth0 y eth1, tengo la maquina funcionando ya esta instalado squid y accedemos al internet lo que no funcionan son las iptables para redireccionar los puertos.

Trata de especificar las

Imagen de damage

Trata de especificar las interfaces directamente en cada linea sin poner las variables (si es que lo tienes con variables), o directamente la direcciòn ip de cada eth, eso es lo que se ocurre por ahora
Keep The Fire Burning.....
Stryper 1988

Esta es la informacion consultando las reglas

Imagen de Tonny

sin aplicar reglas
tonny@debian:~$ sudo iptables --flush
tonny@debian:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
tonny@debian:~$

Luego de aplicar las reglas

tonny@debian:~$ sudo iptables -L
Password:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:7778
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:7779

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Vamos despacio.....

Imagen de RazaMetaL

Vamos despacio.....

Muestranos:
- La salida del comando ifconfig
- Tu conjunto de reglas de iptables (tu script)

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Gracias

Imagen de Tonny

tonny@debian:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:0D:85:2D:E1:E8
inet addr:190.11.27.54 Bcast:190.11.27.255 Mask:255.255.255.0
inet6 addr: fe80::20d:88ff:fe2d:e1e8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:87011 errors:0 dropped:0 overruns:0 frame:0
TX packets:76752 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:105938308 (101.0 MiB) TX bytes:9826410 (9.3 MiB)
Interrupt:209 Base address:0xcc00

eth1 Link encap:Ethernet HWaddr 00:15:E9:A3:73:0D
inet addr:192.168.1.8 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::215:e9ff:fea5:730d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:419633 errors:0 dropped:0 overruns:0 frame:0
TX packets:544260 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:41391898 (39.4 MiB) TX bytes:642105907 (612.3 MiB)
Interrupt:169 Base address:0xd400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:82108 errors:0 dropped:0 overruns:0 frame:0
TX packets:82108 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:73891583 (70.4 MiB) TX bytes:73891583 (70.4 MiB)

#*************************************************************************************************************
Y este es el script

tonny@debian:~$ nano iptablesconf
GNU nano 1.3.10 Fichero: iptablesconf

#### SCRIPT DE CONFIGURACION DE IPTABLES ####
#!/bin/bash

# Dispositivo de red de internet
EXIF="eth1"
# Dispositivo de red local
INIF="eth0"

# Puertos tcp que se desean redirigir (separados por espacios)
puertosTCP="21 110 25"
# Puertos udp que se desean redirigir (separados por espacios)
puertosUDP="7779"
# ip a la que se le redirigen los puertos
pc2="192.168.0.2"

fail=0

[ -f /etc/default/rcS ] && . /etc/default/rcS
. /lib/lsb/init-functions

log_begin_msg "Aplicando Reglas de Firewall..."

## Borrado de reglas anteriores
iptables -F || fail=1
iptables -X || fail=1
iptables -Z || fail=1
iptables -t nat -F || fail=1

## Establecemos politica por defecto
iptables -P INPUT ACCEPT || fail=1
iptables -P OUTPUT ACCEPT || fail=1
iptables -P FORWARD DROP || fail=1
iptables -t nat -P PREROUTING ACCEPT || fail=1
iptables -t nat -P POSTROUTING ACCEPT || fail=1

# Marcar paquetes salientes con su ip de origen
iptables -t nat -A POSTROUTING -o $EXIF -j MASQUERADE || fail=1
# Reenvio de IP
echo 1 > /proc/sys/net/ipv4/ip_forward || fail=1

# Aceptar paquetes para reenviar procedentes de la red local
iptables -A FORWARD -i $INIF -o $EXIF -j ACCEPT || fail=1
# Aceptar paquetes para reenviar procedentes de internet de conexiones ya establecidas
iptables -A FORWARD -i $EXIF -o $INIF -m state --state RELATED,ESTABLISHED -j ACCEPT || fail=1

##Se redirigen los puertos configurados arriba

for puerto in $puertosTCP
do
iptables -A FORWARD -i $EXIF -o $INIF -p tcp --dport $puerto -j ACCEPT || fail=1
iptables -t nat -A PREROUTING -i $EXIF -p tcp --dport $puerto -j DNAT --to $pc2:$puerto || fail=1
done

for puerto in $puertosUDP
do
iptables -A FORWARD -i $EXIF -o $INIF -p udp --dport $puerto -j ACCEPT || fail=1
iptables -t nat -A PREROUTING -i $EXIF -p udp --dport $puerto -j DNAT --to $pc2:$puerto || fail=1
done

# Se muestran los resultados
log_end_msg $fail

if [ $fail -eq 0 ]
then
log_success_msg "Verifique que lo que se aplica con: iptables -L -n."
else
log_warning_msg "Se ha producido un error al aplicar alguna de las reglas"
fi

#### FIN SCRIPT DE CONFIGURACION DE IPTABLES ####

Revisa esto: # Dispositivo

Imagen de RazaMetaL

Revisa esto:

# Dispositivo de red de internet
EXIF="eth1"
# Dispositivo de red local
INIF="eth0"

Segun la salida de ifconfig eth0 es EXIF y eth1 es INIF. Cambia esos valores para esas variables y ejecuta el script nuevmante.

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Oops

Imagen de Tonny

Perdon les puse un archivo antiguo justo el que baje del internet.
Pero si le cambie los valores de las variables, porque eth0 se conecta a mi adsl.
No es ese el problema, antes ya funcionaba perfecto, entonces al reinstalar el sistema para conservar los scripts decidi configurarles identicamente que antes: eth0 ADSL, eth1 red local, o talves tienes un script enmascarar la red y redireccionar puertos.

Páginas