Ayuda con un puerto
Juan Andres Ramirez
jandresaedo en gmail.com
Mar Sep 15 11:41:08 CLT 2009
2009/9/15 Miguel Angel Amador L <jokercl en gmail.com>:
> 2009/9/15 Juan Andres Ramirez <jandresaedo en gmail.com>:
>> 2009/9/14 Sebastián Veloso Varas <sveloso en sevelv.cl>:
>>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez <
>>> jandresaedo en gmail.com> escribió:
>>>
>>>> Estimados :
>>>> Tengo un firewall controlando la lan con iptables. Resulta que
>>>> tengo la politica de drop, habriendo los puertos que necesito, y esto
>>>> lo tengo funcionando hace unas semanas con unos poco usuarios, y
>>>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24,
>>>> donde también estan los usuarios con la puerta 2, que seria la del
>>>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único
>>>> problema que tengo es el acceso entre computadores desde la 100 a la
>>>> subred 101.
>>>>
>>>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde
>>>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a
>>>> un computador en la subred 101 desde la red 100 no puedo.
>>>>
>>>
>>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT)
>>
>> Tengo mis dudas aca, porque tengo en drop la politicas:
>>
>> iptables -P INPUT DROP
>> iptables -P OUTPUT DROP
>> iptables -P FORWARD DROP
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -t nat -P PREROUTING ACCEPT
>> iptables -t nat -P POSTROUTING ACCEPT
>>
>> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y
>> OUTPUT, puedo ver la subred 101 desde la red 100.
>>
>> Mas abajo pego las reglas completas.
>>
>>>
>>>
>>>>
>>>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc
>>>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener
>>>> algun puerto cerrado y no se cual es.
>>>>
>>>
>>> DROP por defecto y si quieres ver redes compartidas, usas los puertos
>>> 137,138 UDP y 139,445 TCP.
>>>
>>>>
>>>> Adjunto archivo txt con las reglas, por si alguien se interesa en
>>>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que
>>>> quiero, solo me falta ese pequeño detalle.
>>>>
>>>>
>>> El adjunto no llego a la lista....trata de hacer copy paste si es posible.
>>
>> ## FLUSH de reglas
>> iptables -F
>> iptables -X
>> iptables -Z
>> iptables -t nat -F
>>
>> ## Establecemos politica por defecto
>> iptables -P INPUT DROP
>> iptables -P OUTPUT DROP
>> iptables -P FORWARD DROP
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -t nat -P PREROUTING ACCEPT
>> iptables -t nat -P POSTROUTING ACCEPT
>>
>> #ACCESO AL LOCALHOST
>> iptables -A INPUT -i lo -j ACCEPT
>> iptables -A OUTPUT -o lo -j ACCEPT
>>
>> #COMUNICACION DNS AL LOCALHOST
>> iptables -A INPUT -p udp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>
>> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL
>> iptables -A INPUT -i eth1 -j ACCEPT
>>
>> #CONSULTAS DNS
>> iptables -A FORWARD -p udp --dport 53 -j ACCEPT
>>
>> # ACCESO SSH DE MI IP
>> iptables -A INPUT -s 192.168.100.253 -j ACCEPT
>> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT
>>
>> #ACCESO A WEB
>> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
>> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>> # Permitimos que la maquina pueda salir a la web
>> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state
>> RELATED,ESTABLISHED -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state
>> RELATED,ESTABLISHED -j ACCEPT
>> # Ya tambien a webs seguras
>> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state
>> RELATED,ESTABLISHED -j ACCEPT
>> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
>>
>> #ACCESO A MAIL
>> iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
>>
>> #ACCESO A SNMP
>> iptables -A FORWARD -p udp --dport 169 -j ACCEPT
>>
>> #ACCESO A FTP
>> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
>>
>> #ACCESO A TELNET
>> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
>>
>> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS
>> iptables -A FORWARD -p udp --dport 137 -j ACCEPT
>> iptables -A FORWARD -p udp --dport 138 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT
>> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT
>> iptables -A FORWARD -p udp --dport 135 -j ACCEPT
>>
>> #DEJAMOS PASAR LOS PING
>> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
>> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
>> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
>>
>> #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE)
>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
>> 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
>> 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
>>
>> # Con esto permitimos hacer forward de paquetes en el firewall, osea
>> # que otras maquinas puedan salir a traves del firewall.
>> echo 1 > /proc/sys/net/ipv4/ip_forward
>>
>>
>>
>>>
>>>
>>>>
>>>> Muchas gracias.
>>>>
>>>
>>>
>>>
>>> Saludos, Sebastian
>>>
>>
>>
>
> mm consulta sobre tu script:
> 1- cuales son las tarjetas de red que manejas y hacia adonde miran?
> (en que tarjeta estan las dos redes que nombras, etc)
Son 2 tarjetas eth1 es por donde se conecta la LAN, eth2 es la se usa
de salida hacia el otro firewall.
Las 2 tarjetas estan en la red 100, ya que la subred 101 es una
virtual que esta en la red 100.
> 2- El firewall sirve algun protocolo web, dns, correo , aparte de
> funcionar de firewall ? pq tienes reglas input que si no sirviera
> servicios, no son necesarias
>
Sólo firewall mas squid.
> ps: espero que tu firewall no este conectado a internet, por el bien
> de tu red...
No , el firewall esta entre la red y otro firewall cisco.
>
> Saludos
> --
> Miguel
>
>
Más información sobre la lista de distribución Linux