evitar mapeos de red

[Jorge Luis Rodriguez]

Hola comunidad!

les cuento mi problema, resulta que tenemos una red clase A con el rango de
ip 10.0.0.xxx, con salida a internet y algunos servicios para la red
interna, dentro de esta red
instales un servidor con debian, ese servidor tiene la eth0 con ip
10.0.0.150, y una eth1 con ip 192.168.1.1. Este servidor debe brindar nada
mas que internet a la subred de

clase C con ip 192.168.1.xxx. Resulta que con el scrips que posteso mas
abajo funciona perfecto, pero no logro evitar que desde la red interna se
pueda mapear la red de clase

A (10.0.0.xxx), probe con nmap, languard, y en ambos caso si mapeo el rango
de ip 10.0.0.1-10.0.0.250 estando en la red de clase C (192.168.1.1) puedo
ver todas las pc que

estan en la red 10.0.0.xxx. Eh buscado y leido mucho, quizas la solucion sea
una tontera, pero bueno, lo cierto es que no logro ver la socucion entre
todo lo que ley y busque.

internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1

#!/bin/bash
#Firewall con politicas por defecto DROP!

route add default gw 10.0.0.1

IPTABLES="`which iptables`"
IPLOCAL="192.168.1.1"

EXTIF="eth0"

INTIF="eth1"


echo " Interface Externa:  $EXTIF"
echo " Interface Interna:  $INTIF"
echo " Path a iptables  :  $IPTABLES"
echo " IP de local    :  $IPLOCAL"

#cargamos los modulos

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_filter
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE

#bit necesarios en el kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

#borramos Reglas Preestablecidas
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

#establecemos las politicas por defecto
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#habilitar el enmascarado
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

#Se permiten pasar solo las conecciones establecidas
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG


$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT

#permitimos entrar y salir al loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

#solo mi ip puede entrar al SSH
$IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT

$IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT

#Permitiendo ingresar al DHCP
$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT

#Habilitar pings
$IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT

#$IPT -L


basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan
hacer scaneos de red hacia la red 10.0.0.xxx

Muchas gracias a todos.

Ricardo!