Problemas con conexiones remotas

Juan Pablo San Martín coyotedemon en gmail.com
Jue Dic 27 10:49:42 CLST 2007 

Acá en la empresa tenemos un servidor (ubuntu feisty) que hace de
router (iptables). Como gracia existe un servidor pptp para conexiones
vpn.
Podemos conectarnos desde afuera sin problemas a través de esta
conexión, pero una vez dentro, no podemos conectarnos a:

- terminal server (a un equipo local con win2k3)
- servidor samba

Está de más decir que localmente si podemos realizar estas conexiones.

Ahora, para poder conectarnos, debo comentar una regla de iptables,
pero que me abre todas las conexiones. He probado de muchas maneras
optimizar este scriptde iptables, pero siempre me veo obligado a abrir
las conexiones completamente para que funcione el pptp.

Me gustaría saber si me pudiesen ayudar a corregir este script para
lograr conectarme con pptp pero que los puertos de ares y otros queden
bloqueados. La idea es que solo puedan conectarse desde la empresa a
internet a los siguientes puertos http, https, pop, smtp, dns.
Y a través de la conexión pptp que puedan conectarse a nuestro
servidor samba y al servidor terminal server con win2k3.

Adjunto script:


#!/bin/sh

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.168.0/24 -i eth0 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j ACCEPT

iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -s 192.168.168.5 -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.168.193 -i eth0 -j ACCEPT

iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -j DROP

iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 30000:50000 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 30000:50000 -j DROP


De antemano, muchas gracias.

Juan Pablo

Más información sobre la lista de distribución Linux