Ayuda con un puerto
Juan Andres Ramirez
jandresaedo en gmail.com
Mar Sep 15 09:51:33 CLT 2009
2009/9/14 Sebastián Veloso Varas <sveloso en sevelv.cl>:
> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez <
> jandresaedo en gmail.com> escribió:
>
>> Estimados :
>> Tengo un firewall controlando la lan con iptables. Resulta que
>> tengo la politica de drop, habriendo los puertos que necesito, y esto
>> lo tengo funcionando hace unas semanas con unos poco usuarios, y
>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24,
>> donde también estan los usuarios con la puerta 2, que seria la del
>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único
>> problema que tengo es el acceso entre computadores desde la 100 a la
>> subred 101.
>>
>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde
>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a
>> un computador en la subred 101 desde la red 100 no puedo.
>>
>
> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT)
Tengo mis dudas aca, porque tengo en drop la politicas:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y
OUTPUT, puedo ver la subred 101 desde la red 100.
Mas abajo pego las reglas completas.
>
>
>>
>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc
>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener
>> algun puerto cerrado y no se cual es.
>>
>
> DROP por defecto y si quieres ver redes compartidas, usas los puertos
> 137,138 UDP y 139,445 TCP.
>
>>
>> Adjunto archivo txt con las reglas, por si alguien se interesa en
>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que
>> quiero, solo me falta ese pequeño detalle.
>>
>>
> El adjunto no llego a la lista....trata de hacer copy paste si es posible.
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#ACCESO AL LOCALHOST
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#COMUNICACION DNS AL LOCALHOST
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL
iptables -A INPUT -i eth1 -j ACCEPT
#CONSULTAS DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
# ACCESO SSH DE MI IP
iptables -A INPUT -s 192.168.100.253 -j ACCEPT
iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT
#ACCESO A WEB
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Permitimos que la maquina pueda salir a la web
iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state
RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state
RELATED,ESTABLISHED -j ACCEPT
# Ya tambien a webs seguras
iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state
RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
#ACCESO A MAIL
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
#ACCESO A SNMP
iptables -A FORWARD -p udp --dport 169 -j ACCEPT
#ACCESO A FTP
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
#ACCESO A TELNET
iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
#PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS
iptables -A FORWARD -p udp --dport 137 -j ACCEPT
iptables -A FORWARD -p udp --dport 138 -j ACCEPT
iptables -A FORWARD -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -p tcp --dport 135 -j ACCEPT
iptables -A FORWARD -p udp --dport 135 -j ACCEPT
#DEJAMOS PASAR LOS PING
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
#REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE)
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
# Con esto permitimos hacer forward de paquetes en el firewall, osea
# que otras maquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
>>
>> Muchas gracias.
>>
>
>
>
> Saludos, Sebastian
>
Más información sobre la lista de distribución Linux