Problemas con conexiones remotas

César Sepúlveda Barra cesar.sepulveda.b en gmail.com
Vie Dic 28 08:18:30 CLST 2007


El Thursday 27 December 2007 10:49:42 Juan Pablo San Martín escribió:
> Adjunto script:
>
>
> #!/bin/sh
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -s 192.168.168.0/24 -i eth0 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
¿Tienes servidor de correo en la maquina que hace NAT?

> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j ACCEPT
¿A la maquina que hace NAT te conectas por escritorio remoto?


> iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 443 -j
> ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 53 -j
> ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p udp --dport 53 -j
podrias dejar el equipo que natea tambien cono servidor de dns y eliminar la 
salida de los equipos por el puerto 53
> ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 25 -j
> ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 110
> -j ACCEPT
>
> iptables -A FORWARD -s 192.168.168.5 -i eth0 -j ACCEPT
> iptables -A FORWARD -s 192.168.168.193 -i eth0 -j ACCEPT
>
> iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -j DROP
creo que ese drop no te funcionara si ya dijiste anteriormente que se dabas 
ACCEPT por defecto (iptables -P FORWARD ACCEPT)

> iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth1 -j MASQUERADE
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 30000:50000 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 30000:50000 -j DROP
mejor cerrar el INPUT que tienes por defecto y abrir sólo lo necesario.


Espero te ayuden de algo las recomendaciones.
y la primera regla es la que se toma en cuenta, recuerda eso, si en algn 
momento dices a iptables que habra para cierto equipo el puerto 8080, lu 
luego mas abajo especificas cerrar el rango de puertos del 1 al 8081, el 8080 
seguira habierto porque cuando se buscaba en tus reglas si podia pasar 
trafico por el puerto 8080 se encontro primero con la regla de que si podia y 
deja de revisarlas. espero se entienda la idea, por eso para que sea todo un 
poco más simple y tener menos error, cerrar todo por defecto primero y luego 
abrir cosas especificas.






Más información sobre la lista de distribución Linux