Ayuda con Firewall

Sebastian Antunez Noguera santunez en gmail.com
Mie Nov 7 12:24:27 CLST 2007


Estimados, estoy probando esta configuracion de iptables, llevo horas viendo
que puede suceder con la configuración. revise un documento que encontre en
Google y no encontre nada extraño en la configuracion.

Mi problema es cuando activo el firewall, me sale el siguiente mensaje
iptables v1.3.8: Bad state `' Y no puedo navegar, desde la Lan hacia
Internet, y desde Wan no ven el server de DMZ.

La interfaces son:

eth0= Internet
eth1=DMZ Segmento 192.168.3.x
eth2=LAN 172.15.10.x


Agradecere mucho su ayuda en este tema, ya que estoy metiendome en este
tema, y probando, pero sinceramente no encuentro informacion sobre el
mensaje, el FW esta sobre Fedora 7.

Adjunto Script de Firewall

#!/bin/bash
    #Activando BIT Forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Connection Tracking :)
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    # Flushing!
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -Z
    /sbin/iptables -t nat  -F

    #Drop de Reglas (Denegar todo)
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -t nat -P PREROUTING DROP
    /sbin/iptables -t nat -P POSTROUTING DROP

    #Trafico al FW por la interfaz eth2 (LAN)
    /sbin/iptables -t nat -A PREROUTING -i eth2 -j ACCEPT

    #Acceso al FW desde LAN por SSH
    /sbin/iptables -A INPUT -s 172.15.10.10 -p tcp --dport 22 -j ACCEPT
    /sbin/iptables -A OUTPUT -s 172.15.10.10 -p tcp --sport 22 -j ACCEPT

    #Denegar IP Spoofing
    /sbin/iptables -A INPUT -i eth0 -s 192.168.3.0/24 -j DROP
    /sbin/iptables -A INPUT -i eth0 -s 172.15.10.0/24 -j DROP

    #Permitiendo trafico de salida por eth1 (DMZ)
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT

    #Consultas DNS DMZ desde LAN
    /sbin/iptables -A FORWARD -s 172.15.10.0/24 -d 192.168.3.5 -p udp
--dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.3.5 -d 172.15.10.0/24 -p udp
--sport 53 -j ACCEPT

    #Permitir ping desde LAN
    /sbin/iptables -A FORWARD -s 172.15.10.0/24 -d 192.168.3.0/24 -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.3.0/24 -d 172.15.10.0/24 -j ACCEPT

    #Conexiones WAN-DMZ
    /sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp \
         --dport 80 -j DNAT --to-destination 192.168.3.5:80<http://192.168.3.5/>

    #Respuestas desde DMZ - INTERNET
    /sbin/iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --sport 80 -i eth1 -o eth0 -j ACCEPT

    #Conexiones WAN-LAN

    #Enmascaramiento de IP de LAN
    /sbin/iptables -t nat -A POSTROUTING -s 172.15.10.0/24 -o eth0 -j
MASQUERADE

    #Permisos de Navegacion
    /sbin/iptables -A FORWARD -p tcp -i eth2 -o eth0 -m state --state
NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -i eth0 -o eth2 -m state --state
ESTABLISHED,RELATED --sport 80 -j ACCEPT


Gracias por su ayuda


Más información sobre la lista de distribución Linux