Acceso LAN a DMZ con iptables

Imagen de zzeratul

Forums: 

Hola amigos! estoy implementando un firewall/proxy, uso iptables con política DROP por defecto, squid y dansguardian en la misma máquina, tiene 3 tarjetas de red:
- eth1(192.168.1.2) conectada al router(192.168.1.1)
- eth0(192.168.0.1) conectada a la DMZ
- eth2(192.168.2.1) conectada a la LAN
la DMZ por el momento tiene un sólo servidor(192.168.0.2) que tiene configurado:
-un aula virtual
-un blog
-la página web
-dhcp
-correo
-dns (ésta la implementé para que los clientes puedan resolver nombres como:www.colegio.edu.pe, aula.colegio.edu.pe, mail.colegio.edu.pe y blog.colegio.edu.pe )

El problema que tengo es que las máquinas clientes de la LAN NO pueden acceder a los servicios de la DMZ :( .
Soy novato en el tema de servidores, quisiera que por favor me den algunas reglas para que así los clientes puedan resolver por el dns de la dmz, los distintos servicios web que he mencionado antes.
Mil gracias por su ayuda!

Hola, intenta los

Imagen de Monkito

Hola, intenta los siguiente...


iptables -t nat -A FORWARD -i eth2 -o eth0 -j MASQUERADE
iptables -t filter -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth2 -j ACCEPT

------------
counter.li.org

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

Hola monkito, gracias por

Imagen de zzeratul

Hola monkito, gracias por responder, al colocar las reglas que mencionaste, me bota lo siguiente:

iptables: No chain/target/match by that name

estuve buscando en google, y supuestamente el aviso es porque la regla no está bien escrita o falta algún módulo, pero no me dicen mas :? . Ayudame por favor! gracias!

Colega parece que no has

Colega parece que no has mirado mucho en Google...
Mira este link
Ademas revisa los modules que tienes instalados con este comando:

lsmod

Salud2s...

ecualug
______________________
!!!AdminRed_Debian!!!

ecualug
______________________
!!!AdminRed_Debian!!!

Hola Skypower, busqué en

Imagen de zzeratul

Hola Skypower, busqué en google no sólo sobre ese mensaje, sino tambien sobre iptables antes de consultarles, los enlaces que me diste ya los he leido y probé con muchas reglas que encontré por allí pero no solucionaron mi problema :( . De las reglas que me dió monkito, la primera me causa ese problema ya que la tabla nat no va con la cadena FORWARD. Espero otra sugerencia! gracias x su ayuda! salu2

Vamos haber... en tu

Vamos haber... en tu firewall para que las PC LAN vean los servicios de la DMZ debes tener como minimo esto:

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.0.2 -p tcp --sport 1024:65535 --dport 22 -j ACCEPT

iptables -A FORWARD -s 192.168.0.2 -d 192.168.2.0/24 -p tcp --sport 22 --dport 1024:65535 -j ACCEPT

y en la puerta predeterminada de las PCs el ip del firewall...

Haciendo esto deberia ver los servicios de la DMZ...

Salud2s...

ecualug
______________________
!!!AdminRed_Debian!!!

ecualug
______________________
!!!AdminRed_Debian!!!