Iptables + redireccion de ssh ...

[Miguel Angel Amador L]

On 8/5/05, Tipler <tipler en gmail.com> wrote:
> Que tal ...
> 
> 
> .. estoy dando mis primeros pasos con iptables y estoy intentando
> redireccionar, a través del firewall (iptables), las peticiones del
> servicio ssh desde internet a un servidor de la LAN.
> 
> .. como el firewall posee su propio servicio ssh y ya ocupa el puerto
> 22, entonces arbitrariamente elijo el 4202 para el servicio ssh que se
> encuentra dentro del equpo de la LAN.
> 
> coloco la siguiente regla para hacer NAT  ...
> eth1: placa de red que se ve desde Internet
> eth0: placa de red que ve la LAN
> 
> # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 4202 -j DNAT
> --to 192.168.0.200:22
> ahora tengo que hacer el Forward, entre eth1 y eth0  .. (pero no me
> queda del todo claro)
> 
> # iptables -A FORWARD -p tcp -i eth1 -o eth0 -d 192.168.0.200 --dport
> 22 -j ACCEPT
> .. esta ultima regla es correcta?
Si, ahora, el paquete de entrada llega, pero debes manejar el de salida....
La regla por defecto para FORWARD, asumo que la tienes en DROP..?

> .. como sabe esta regla que tiene que hacer el forward de lo que entra
> por el 4202? (seguro que lo hace al 22 de 192.168.0.200, pq esta
> explicito en la regla)

Primero hace el DNAT , antes que el FORWARD, por lo que el paquete de
entrada al ser recivido en la puerta cambia su destino/ruta a
192.168.0.200:22, luego de lo cual es aplicado el filtro (ojo: FORWARD
esta en la table filter y no en la nat) , por lo que el forward
checkea el destino al puerto 22, despues que el paquete en su
encabezado cambio el puerto de destino y la ip de destino, con eso
sabe si enviarlo a input o forward.
 tal vez te quede claro con este dibujo:
    http://www.shorewall.net/images/Netfilter.png

http://www.netfilter.org
hayhow to's en español)

> gracias x sus respuestas ...
> 
> Saludos
> Tipler ..
> 
> 


-- 
Miguel Angel Amador L. 
[JoKeR][ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]