Ayuda con Firewall
Sebastian Antunez Noguera
santunez en gmail.com
Mie Nov 7 12:24:27 CLST 2007
Estimados, estoy probando esta configuracion de iptables, llevo horas viendo
que puede suceder con la configuración. revise un documento que encontre en
Google y no encontre nada extraño en la configuracion.
Mi problema es cuando activo el firewall, me sale el siguiente mensaje
iptables v1.3.8: Bad state `' Y no puedo navegar, desde la Lan hacia
Internet, y desde Wan no ven el server de DMZ.
La interfaces son:
eth0= Internet
eth1=DMZ Segmento 192.168.3.x
eth2=LAN 172.15.10.x
Agradecere mucho su ayuda en este tema, ya que estoy metiendome en este
tema, y probando, pero sinceramente no encuentro informacion sobre el
mensaje, el FW esta sobre Fedora 7.
Adjunto Script de Firewall
#!/bin/bash
#Activando BIT Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Connection Tracking :)
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Flushing!
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -t nat -F
#Drop de Reglas (Denegar todo)
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -P PREROUTING DROP
/sbin/iptables -t nat -P POSTROUTING DROP
#Trafico al FW por la interfaz eth2 (LAN)
/sbin/iptables -t nat -A PREROUTING -i eth2 -j ACCEPT
#Acceso al FW desde LAN por SSH
/sbin/iptables -A INPUT -s 172.15.10.10 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -s 172.15.10.10 -p tcp --sport 22 -j ACCEPT
#Denegar IP Spoofing
/sbin/iptables -A INPUT -i eth0 -s 192.168.3.0/24 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 172.15.10.0/24 -j DROP
#Permitiendo trafico de salida por eth1 (DMZ)
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
#Consultas DNS DMZ desde LAN
/sbin/iptables -A FORWARD -s 172.15.10.0/24 -d 192.168.3.5 -p udp
--dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.3.5 -d 172.15.10.0/24 -p udp
--sport 53 -j ACCEPT
#Permitir ping desde LAN
/sbin/iptables -A FORWARD -s 172.15.10.0/24 -d 192.168.3.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.3.0/24 -d 172.15.10.0/24 -j ACCEPT
#Conexiones WAN-DMZ
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp \
--dport 80 -j DNAT --to-destination 192.168.3.5:80<http://192.168.3.5/>
#Respuestas desde DMZ - INTERNET
/sbin/iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --sport 80 -i eth1 -o eth0 -j ACCEPT
#Conexiones WAN-LAN
#Enmascaramiento de IP de LAN
/sbin/iptables -t nat -A POSTROUTING -s 172.15.10.0/24 -o eth0 -j
MASQUERADE
#Permisos de Navegacion
/sbin/iptables -A FORWARD -p tcp -i eth2 -o eth0 -m state --state
NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -i eth0 -o eth2 -m state --state
ESTABLISHED,RELATED --sport 80 -j ACCEPT
Gracias por su ayuda
Más información sobre la lista de distribución Linux