Ayuda con un puerto

Juan Andres Ramirez jandresaedo en gmail.com
Mie Sep 16 16:55:28 CLT 2009 

2009/9/15 Juan Andres Ramirez <jandresaedo en gmail.com>:
> 2009/9/15 Miguel Angel Amador L <jokercl en gmail.com>:
>> 2009/9/15 Juan Andres Ramirez <jandresaedo en gmail.com>:
>>> 2009/9/14 Sebastián Veloso Varas <sveloso en sevelv.cl>:
>>>> El 14 de septiembre de 2009 16:34, Juan Andres Ramirez <
>>>> jandresaedo en gmail.com> escribió:
>>>>
>>>>> Estimados :
>>>>>        Tengo un firewall controlando la lan con iptables. Resulta que
>>>>> tengo la politica de drop, habriendo los puertos que necesito, y esto
>>>>> lo tengo funcionando hace unas semanas con unos poco usuarios, y
>>>>> funciona bien. Ahora bien el firewall esta dentro de la red 100.0/24,
>>>>> donde también estan los usuarios con la puerta 2, que seria la del
>>>>> firewall. Dentro de la red 100.0/24 hay una sub red 101/24, y el único
>>>>> problema que tengo es el acceso entre computadores desde la 100 a la
>>>>> subred 101.
>>>>>
>>>>> Destape puertos udp y tcp para 137,138, 139, 445 y funciona bien desde
>>>>> la red 101 a la 100, pero no al revez, es decir si trato de entrar a
>>>>> un computador en la subred 101 desde la red 100 no puedo.
>>>>>
>>>>
>>>> ¿Las reglas de FORWARD estan tanto de entrada/salida ? (INPUT/OUTPUT)
>>>
>>> Tengo mis dudas aca, porque tengo en drop la politicas:
>>>
>>> iptables -P INPUT DROP
>>> iptables -P OUTPUT DROP
>>> iptables -P FORWARD DROP
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> iptables -t nat -P PREROUTING ACCEPT
>>> iptables -t nat -P POSTROUTING ACCEPT
>>>
>>> Y si sólo cambio a ACCEPT el FORWARD dejando con DROP el INPUT y
>>> OUTPUT, puedo ver la subred 101 desde la red 100.
>>>
>>> Mas abajo pego las reglas completas.
>>>
>>>>
>>>>
>>>>>
>>>>> SI dejo la politica FORWARD en ACCEPT por defecto puedo ver los pc
>>>>> desde la red 100 a la subred 101 sin problemas. Entonces debo tener
>>>>> algun puerto cerrado y no se cual es.
>>>>>
>>>>
>>>> DROP por defecto y si quieres ver redes compartidas, usas los puertos
>>>> 137,138 UDP y 139,445 TCP.
>>>>
>>>>>
>>>>> Adjunto archivo txt con las reglas, por si alguien se interesa en
>>>>> mirarlas. Pero como dije antes asi como esta funciona bien para lo que
>>>>> quiero, solo me falta ese pequeño detalle.
>>>>>
>>>>>
>>>> El adjunto no llego a la lista....trata de hacer copy paste si es posible.
>>>
>>> ## FLUSH de reglas
>>> iptables -F
>>> iptables -X
>>> iptables -Z
>>> iptables -t nat -F
>>>
>>> ## Establecemos politica por defecto
>>> iptables -P INPUT DROP
>>> iptables -P OUTPUT DROP
>>> iptables -P FORWARD DROP
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> iptables -t nat -P PREROUTING ACCEPT
>>> iptables -t nat -P POSTROUTING ACCEPT
>>>
>>> #ACCESO AL LOCALHOST
>>> iptables -A INPUT -i lo -j ACCEPT
>>> iptables -A OUTPUT -o lo -j ACCEPT
>>>
>>> #COMUNICACION DNS AL LOCALHOST
>>> iptables -A INPUT -p udp --dport 53 -j ACCEPT
>>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>>
>>> #ACCESO A TODAS LAS CONECCIONES PARA QUE ENTREN AL FIREWALL
>>> iptables -A INPUT -i eth1  -j ACCEPT
>>>
>>> #CONSULTAS DNS
>>> iptables -A FORWARD -p udp --dport 53 -j ACCEPT
>>>
>>> # ACCESO SSH DE MI IP
>>> iptables -A INPUT -s 192.168.100.253 -j ACCEPT
>>> iptables -A OUTPUT -d 192.168.100.253 -j ACCEPT
>>>
>>> #ACCESO A WEB
>>> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
>>> iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
>>> # Permitimos que la maquina pueda salir a la web
>>> iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state
>>> RELATED,ESTABLISHED -j ACCEPT
>>> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
>>> iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>>> iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state
>>> RELATED,ESTABLISHED -j ACCEPT
>>> # Ya tambien a webs seguras
>>> iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state
>>> RELATED,ESTABLISHED -j ACCEPT
>>> iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
>>>
>>> #ACCESO A MAIL
>>> iptables -A FORWARD  -p tcp --dport 25 -j ACCEPT
>>> iptables -A FORWARD  -p tcp --dport 110 -j ACCEPT
>>> iptables -A FORWARD  -p tcp --dport 143 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
>>>
>>> #ACCESO A SNMP
>>> iptables -A FORWARD -p udp --dport 169 -j ACCEPT
>>>
>>> #ACCESO A FTP
>>> iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
>>>
>>> #ACCESO A TELNET
>>> iptables -A FORWARD -p tcp --dport 23 -j ACCEPT
>>>
>>> #PUERTOS PARA EL ACCESO COMPARTIDO DE WINDOWS
>>> iptables -A FORWARD -p udp --dport 137 -j ACCEPT
>>> iptables -A FORWARD -p udp --dport 138 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 139 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 445 -j ACCEPT
>>> iptables -A FORWARD -p tcp --dport 135 -j ACCEPT
>>> iptables -A FORWARD -p udp --dport 135 -j ACCEPT
>>>
>>> #DEJAMOS PASAR LOS PING
>>> iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
>>> iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
>>> iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
>>>
>>> #REDIRECCIONAMIENTO PARA EL SQUID(PROXY TRANSPARENTE)
>>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
>>> 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
>>> iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -s
>>> 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-port 3128
>>>
>>> # Con esto permitimos hacer forward de paquetes en el firewall, osea
>>> # que otras maquinas puedan salir a traves del firewall.
>>> echo 1 > /proc/sys/net/ipv4/ip_forward
>>>
>>>
>>>
>>>>
>>>>
>>>>>
>>>>> Muchas gracias.
>>>>>
>>>>
>>>>
>>>>
>>>> Saludos, Sebastian
>>>>
>>>
>>>
>>
>> mm consulta sobre tu script:
>> 1- cuales son las tarjetas de red que manejas y hacia adonde miran?
>> (en que tarjeta estan las dos redes que nombras, etc)
>
> Son 2 tarjetas eth1 es por donde se conecta la LAN, eth2 es la se usa
> de salida hacia el otro firewall.
> Las 2 tarjetas estan en la red 100, ya que la subred 101 es una
> virtual que esta en la red 100.
>
>> 2- El firewall sirve algun protocolo web, dns, correo , aparte de
>> funcionar de firewall ? pq tienes reglas input que si no sirviera
>> servicios, no son necesarias
>>
>
> Sólo firewall mas squid.
>
>> ps: espero que tu firewall no este conectado a internet, por el bien
>> de tu red...
>
> No , el firewall esta entre la red y otro firewall cisco.
>
>>

Traza a la dirección [192.168.101.13]
sobre un máximo de 30 saltos:

  1    <1 ms    <1 ms    <1 ms  192.168.100.1
  2     *        *        *     Tiempo de espera agotado para esta solicitud.

Este es el problema, al pasar desde la red 100 a la subred 101, pasa
por la puerta de la red 100 que es la 100.1, y este es el firewall
Cisco.
Apliqué una regla para dejar pasar a la puerta 1 por el firewall interno:

iptables -A FORWARD -s 192.168.100.1  -j ACCEPT

Pero no pasa nada, si dejo la regla en :

iptables -A FORWARD -j ACCEPT, si funciona, pero no tendria gracia
porque estaria dejando pasar todo.

>>  Saludos
>> --
>> Miguel
>>
>>
>

Más información sobre la lista de distribución Linux