Redireccionar con IPTABLES
fernando villarroel
bbddlinux en yahoo.es
Vie Dic 24 01:49:58 CLST 2004
Les paso mi script :
#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -F INPUT
iptables -P INPUT DROP
iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j
ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -i vpn -j
ACCEPT
#/sbin/iptables -A INPUT -s 0.0.0.0 -d 192.168.1.0/24
-j DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24
-o ppp0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p
tcp --dport 80 -j DNAT --to-destination 192.168.1.4:80
### Creamos chains de estado
/sbin/iptables -N allowed-connection
/sbin/iptables -F allowed-connection
/sbin/iptables -A allowed-connection -m state --state
ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A allowed-connection -i ppp0 -p tcp -m
state --state NEW --dport www -j ACCEPT
/sbin/iptables -A allowed-connection -i ppp0 -p tcp -m
state --state NEW --dport smtp -j ACCEPT
/sbin/iptables -A allowed-connection -i eth1 -p tcp -m
state --state NEW --dport 995 -j ACCEPT
#Trafico que entra
/sbin/iptables -N allow-ssh-traffic-in
/sbin/iptables -F allow-ssh-traffic-in
/sbin/iptables -A allow-ssh-traffic-in -i ppp0 -p tcp
-m state --state NEW --dport ssh -j ACCEPT
/sbin/iptables -A allow-ssh-traffic-in -p tcp --sport
ssh -j ACCEPT
### Tráfico que sale
/sbin/iptables -N allow-ssh-traffic-out
/sbin/iptables -F allow-ssh-traffic-out
/sbin/iptables -A allow-ssh-traffic-out -p tcp --dport
ssh -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state NEW -o ppp0
-p TCP --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p ICMP --icmp-type 8
-j DROP
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 655 -j
ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --dport 655 -j
ACCEPT
/sbin/iptables -A INPUT -j allow-ssh-traffic-in
/sbin/iptables -A INPUT -j allowed-connection
/sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p tcp
--dport 5432 -j DROP
/sbin/iptables -A INPUT -s 0.0.0.0 -i ppp0 -p udp
--dport 5432 -j DROP
/sbin/iptables -A INPUT -p TCP -m state --state NEW !
--syn -j DROP
echo "...VPN"
/sbin/iptables -A FORWARD -i ppp0 -o eth1 -d
192.168.1.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o ppp0 -s
192.168.1.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i vpn -o eth1 -s
192.168.0.0/16 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o vpn -s
192.168.1.0/24 -d 192.168.0.0/16 -j ACCEPT
echo "...hecho"
/sbin/iptables -A FORWARD -o lo -j ACCEPT
/sbin/iptables -A FORWARD -j allow-ssh-traffic-in
/sbin/iptables -A FORWARD -j allowed-connection
/sbin/iptables -A FORWARD -i eth1 -j ACCEPT
Modifique para redireccionar a un pc con Linux
corriendo apache, pero tampoco funciona, es mas dejo
sin internet a la Lan, si comento la linea del
PREROUTING soluciono el tema de internet, pero no
consigo redireccionar alguna peticion a un puerto
determinado hacia algun PC de la LAN?
--- Alejandro Lopez Reinike <yopuz en powers.cl>
escribió:
> yo uso la siguiente linea para bittorrent
>
> iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp
> --dport 6881 -j DNAT
> --to-destination 192.168.0.2
>
> Sabras cambiarla para tu caso (Puerto y direccion)
>
> fernando villarroel escribió:
>
> >HOla, tengo el siguiente problema, en la empresa
> donde
> >trabajo colocamos un servidor Debian que hace la
> >funcion de gateway para dar salida a los PC de la
> LAN
> >a Internet, el problema que tengo es que uno de los
> PC
> >(192.168.2.6) corre un servidor MySQL en un Windows
> >98, Mi pregunta es como direcciono cualquier
> conexion
> >que venga de INternet al puerto 3306 hacia el pc
> >192.168.2.6, estuve probando agregando la siguiente
> >regla, pero no me funciono:
> >
> >/sbin/IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp
> >--dport 3306 -j DNAT --to 192.168.2.6:3306
> >
> >Alguna idea el script del firewall ya contenia las
> >siguientes lineas:
> >
> >echo 1 > /proc/sys/net/ipv4/ip_forward
> >/sbin/iptables -t nat -A POSTROUTING -s
> 192.168.1.0/24
> >-o ppp0 -j MASQUERADE
> >
> >Ademas la politica por defecto son DROP
> >
> >Tambien probe dejando todo en ACCEPT y probando
> solo
> >las reglas anteriores, pero tampoco me funciono.
> >
> >Fernando.
> >
> >
> >
> >______________________________________________
> >Renovamos el Correo Yahoo!: ¡250 MB GRATIS!
> >Nuevos servicios, más seguridad
> >http://correo.yahoo.es
> >
> >
> >
> >
>
>
>
______________________________________________
Renovamos el Correo Yahoo!: ¡250 MB GRATIS!
Nuevos servicios, más seguridad
http://correo.yahoo.es
Más información sobre la lista de distribución Linux