reglas del firewall

Miguel Oyarzo admin en aim.cl
Jue Ene 12 10:50:00 CLST 2006


At 10:34 09-01-2006, you wrote:
>Hola, como les comente en mi anterior mensaje, estoy tratando de
>implementar un proxy transparente y un firewall, en principio al
>implementar solo el proxy transparente (SQUID+iptables), de la forma:
>
>asumiendo que la eth0 es la LAN y eth1 es la salida ainternet
>
># redirecciona squid
>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
>
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>--to-port 3128
>
># habilitar forwarding
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
>hasta ahi todo ok (funcionan mis reglas y restricciones)
>
>pero cuando quiero incrementar reglas de control al firewall
>(basicamente empezar a bloquear y permitir accesos), todo deja de
>funcionar,el script que utilizo es el siguiente:
>
>## FLUSH de reglas
>iptables -F
>iptables -X
>iptables -Z
>iptables -t nat -F
>
>## Establecemos politica por defecto: DROP!!!
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>
># redirecciona squid
>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
>
>iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>--to-port 3128
>
># habilitar forwarding
>echo 1 > /proc/sys/net/ipv4/ip_forward
>
># Dejo pasar los paquetes ICMP  hacia y desde el firewall.
>iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
>iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
>iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
>iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
>
>#reglas de redireccion
>iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
>iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
>
>iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT
>iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT
>
>Como todo dejo de funcionar tratae de implemetar reglas para dejar
>pasar navegacion y ping (en ambos sentidos pr que la politica por
>defecto es drop) pero ni aun con eso funciona
>
>
>Me podrian ayudar a resilver mi problema, ya que despues de esto debo
>empezar a bloquear el msn y a permitir accesos remotos, pero no puedo
>avanzar mientras esto no funcione bein.
>
>saludos y gracias adelntadas 

1) agregale  -o ethx o  -i ethx  a las cadenas que corresponda

2) La puerta 53 (DNS) esta bloqueda en FORWADR y OUTPUT, ni tus clentes
  en la LAN ni tu proxy (proceso local) podrán resolver los dominios asi. 

3) Me asalta la duda... por que usas MASQUERADE si sales a la red por una eth1 ?
que cosa te conecta a Internet? Pienso que deberias usar SNAT (pero depende de lo qye tengas en la wan).


Slaudos

Miguel Oyarzo
INALAMBRICA
Punta Arenas









Más información sobre la lista de distribución Linux