reglas del firewall
Miguel Angel Amador L
jokercl en gmail.com
Jue Ene 12 10:54:17 CLST 2006
On 1/9/06, Percy Gonzales <pergonzales en gmail.com> wrote:
> Hola, como les comente en mi anterior mensaje, estoy tratando de
> implementar un proxy transparente y un firewall, en principio al
> implementar solo el proxy transparente (SQUID+iptables), de la forma:
>
> asumiendo que la eth0 es la LAN y eth1 es la salida ainternet
>
> # redirecciona squid
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> # habilitar forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> hasta ahi todo ok (funcionan mis reglas y restricciones)
>
> pero cuando quiero incrementar reglas de control al firewall
> (basicamente empezar a bloquear y permitir accesos), todo deja de
> funcionar,el script que utilizo es el siguiente:
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto: DROP!!!
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # redirecciona squid
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> # habilitar forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # Dejo pasar los paquetes ICMP hacia y desde el firewall.
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
> iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
> iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
>
> #reglas de redireccion
> iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
>
> iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT
> iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT
>
> Como todo dejo de funcionar tratae de implemetar reglas para dejar
> pasar navegacion y ping (en ambos sentidos pr que la politica por
> defecto es drop) pero ni aun con eso funciona
>
>
>
> Me podrian ayudar a resilver mi problema, ya que despues de esto debo
> empezar a bloquear el msn y a permitir accesos remotos, pero no puedo
> avanzar mientras esto no funcione bein.
>
> saludos y gracias adelntadas
>
>
Te faltan reglas que hagan lo siguiente:
- Permitir que la maquina de firewall haga consultas a los DNS resolver.
- Permitir que el proxy que tienes funcionando en el puerto 3128 pueda
recibir y contestar peticiones de los paquetes que le son reenviados
desde tu red 192.168.
- Que el mismo programa de proxy pueda establecer conexiones hacia
servidores web en internet.
Eso basicamente, puede que falte alguno, pero te diria que te
buscaras algun script ya hecho en internet con la explicacion, pq
tienes las reglas por defecto muy restrictivas y para habilitar el
servicio tienes que entender como funciona antes de ponerte a aplicar
reglas. buscate un manual de iptables (los how to de www.netfilter.org
) y los tipicos manuales que encuentras en español en internet te
daran mas pautas de como debe funcionar.
Saludos
Miguel
--
Miguel Angel Amador L.
[ jokercl at gmail dot com | User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]
Más información sobre la lista de distribución Linux