Problemas con conexiones remotas
Juan Pablo San Martín
coyotedemon en gmail.com
Jue Dic 27 10:49:42 CLST 2007
Acá en la empresa tenemos un servidor (ubuntu feisty) que hace de
router (iptables). Como gracia existe un servidor pptp para conexiones
vpn.
Podemos conectarnos desde afuera sin problemas a través de esta
conexión, pero una vez dentro, no podemos conectarnos a:
- terminal server (a un equipo local con win2k3)
- servidor samba
Está de más decir que localmente si podemos realizar estas conexiones.
Ahora, para poder conectarnos, debo comentar una regla de iptables,
pero que me abre todas las conexiones. He probado de muchas maneras
optimizar este scriptde iptables, pero siempre me veo obligado a abrir
las conexiones completamente para que funcione el pptp.
Me gustaría saber si me pudiesen ayudar a corregir este script para
lograr conectarme con pptp pero que los puertos de ares y otros queden
bloqueados. La idea es que solo puedan conectarse desde la empresa a
internet a los siguientes puertos http, https, pop, smtp, dns.
Y a través de la conexión pptp que puedan conectarse a nuestro
servidor samba y al servidor terminal server con win2k3.
Adjunto script:
#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.168.0/24 -i eth0 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.168.5 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.168.193 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 30000:50000 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 30000:50000 -j DROP
De antemano, muchas gracias.
Juan Pablo
Más información sobre la lista de distribución Linux