Ayuda con un puerto

Miguel Angel Amador L jokercl en gmail.com
Mar Sep 15 11:21:02 CLT 2009


2009/9/15 Juan Andres Ramirez <jandresaedo en gmail.com>:
> 2009/9/14 Sebastián Veloso Varas <sveloso en sevelv.cl>:
>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez <
>> jandresaedo en gmail.com> escribió:
>>
>>> Estimados :
>>>        Tengo un firewall controlando la lan con iptables. Resulta que
>>> tengo la politica de drop, habriendo los puertos que necesito, y esto
>>> lo tengo funcionando hace unas semanas con unos poco usuarios, y
>>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24,
>>> donde también estan los usuarios con la puerta 2, que seria la del
>>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único
>>> problema que tengo es el acceso entre computadores desde la 100 a la
>>> subred 101.
>>>
>>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde
>>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a
>>> un computador en la subred 101 desde la red 100 no puedo.
>>>
>>
>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT)
>
> Tengo mis dudas aca, porque tengo en drop la politicas:
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y
> OUTPUT, puedo ver la subred 101 desde la red 100.
>
> Mas abajo pego las reglas completas.
>
>>
>>
>>>
>>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc
>>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener
>>> algun puerto cerrado y no se cual es.
>>>
>>
>> DROP por defecto y si quieres ver redes compartidas, usas los puertos
>> 137,138 UDP y 139,445 TCP.
>>
>>>
>>> Adjunto archivo txt con las reglas, por si alguien se interesa en
>>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que
>>> quiero, solo me falta ese pequeño detalle.
>>>
>>>
>> El adjunto no llego a la lista....trata de hacer copy paste si es posible.
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> #ACCESO AL LOCALHOST
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> #COMUNICACION DNS AL LOCALHOST
> iptables -A INPUT -p udp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>
> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL
> iptables -A INPUT -i eth1  -j ACCEPT
>
> #CONSULTAS DNS
> iptables -A FORWARD -p udp --dport 53 -j ACCEPT
>
> # ACCESO SSH DE MI IP
> iptables -A INPUT -s 192.168.100.253 -j ACCEPT
> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT
>
> #ACCESO A WEB
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
> # Permitimos que la maquina pueda salir a la web
> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
> # Ya tambien a webs seguras
> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state
> RELATED,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
>
> #ACCESO A MAIL
> iptables -A FORWARD  -p tcp --dport 25 -j ACCEPT
> iptables -A FORWARD  -p tcp --dport 110 -j ACCEPT
> iptables -A FORWARD  -p tcp --dport 143 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
>
> #ACCESO A SNMP
> iptables -A FORWARD -p udp --dport 169 -j ACCEPT
>
> #ACCESO A FTP
> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
>
> #ACCESO A TELNET
> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
>
> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS
> iptables -A FORWARD -p udp --dport 137 -j ACCEPT
> iptables -A FORWARD -p udp --dport 138 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT
> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT
> iptables -A FORWARD -p udp --dport 135 -j ACCEPT
>
> #DEJAMOS PASAR LOS PING
> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
>
> #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE)
> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
> 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
> 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
>
> # Con esto permitimos hacer forward de paquetes en el firewall, osea
> # que otras maquinas puedan salir a traves del firewall.
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
>
>>
>>
>>>
>>> Muchas gracias.
>>>
>>
>>
>>
>> Saludos, Sebastian
>>
>
>

mm consulta sobre tu script:
1- cuales son las tarjetas de red que manejas y hacia adonde miran?
(en que tarjeta estan las dos redes que nombras, etc)
2- El firewall sirve algun protocolo web, dns, correo , aparte de
funcionar de firewall ? pq tienes reglas input que si no sirviera
servicios, no son necesarias

ps: espero que tu firewall no este conectado a internet, por el bien
de tu red...

 Saludos
-- 
Miguel



Más información sobre la lista de distribución Linux