iptables: FTP por VPN
Victor Quiroz
quiroz.victor en gmail.com
Mie Ene 31 19:00:23 CLST 2007
Hola, resulta que ya tengo funcionando mis conexiones vpn desde 3
oficinas a una oficina principal, hasta ahora todo va bien, pero
resulta que ahora existe la necesidad de permitir conexiones de los
clientes de las oficinas hacia la oficina principal por medio de FTP y
PCanyware, al momento de probarlo no se puede realizar la conexion, he
probado con el siguiente script pero hasta ahora no puedo conseguirlo.
Tambien considerar que este equipo actua de GW, y hace de proxy
En el script solo adicione la parte correspondiente a los FTPs y
PCanyware, ya que lo demas viene funcionando correctamente, me podrian
ayudar a corregir mi problema por favor? GRACIAS
Variables:
W_NIC,V_NIC, L_NIC son las interfaces de la red wan, vpn y lan respectivamente
LAN, lAN_PRI son las redes locales y la red de la oficina principal
#==================================================================
#Permitimos Ip Forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
#Para poder permitir el uso de FTP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#Politicas
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#VPN
iptables -A INPUT -i $W_NIC -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $W_NIC -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $V_NIC -j ACCEPT
iptables -A OUTPUT -o $V_NIC -j ACCEPT
iptables -A FORWARD -i $L_NIC -o $V_NIC -j ACCEPT
iptables -A FORWARD -o $L_NIC -i $V_NIC -j ACCEPT
#Conexiones de entrada
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $W_NIC -m state --state NEW -j DROP
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Enmascaramiento de las peticiones
iptables -t nat -A POSTROUTING -s $LAN -o $W_NIC -j MASQUERADE
#Abrimos el puerto 3128 (SQUID):
iptables -A INPUT -i $L_NIC -s $LAN -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -d $LAN -m state --state ESTABLISHED,RELATED -p tcp
--sport 3128 -j ACCEPT
#Permitimos trafico con el DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
#FTP
iptables -A FORWARD -s $LAN -d $LAN_PRI -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -s $LAN_PRI -d $LAN -p tcp --sport 20:21 -j ACCEPT
#PCanyware
iptables -A FORWARD -s $LAN -d $LAN_PRI -p tcp --dport 5631:5632 -j ACCEPT
iptables -A FORWARD -s $LAN_PRI -d $LAN -p tcp --sport 5631:5632 -j ACCEPT
iptables -A FORWARD -s $LAN -d $LAN_PRI -p tcp --dport 5631:5632 -j ACCEPT
iptables -A FORWARD -s $LAN_PRI -d $LAN -p tcp --sport 5631:5632 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Más información sobre la lista de distribución Linux