[CentOS-es] IPTABLES puerto SSH abierto de entrada pero no de salida

daniel danielog2073 en gmail.com
Jue Ago 26 21:06:18 EDT 2010 

Hola lista tengo un problema con iptables (otra vez) el asunto es que estoy
haciendo una DMZ, necesito habrir todos los puertos de entrada a la DMZ pero
no de salida, es decir por ejemplo el puerto 22 para SSH necesito abrir el
puerto para que todas las maquinas de la LAN puedan entrar a la DMZ por el
22 pero una vez en la DMZ no puedan hacer SSH a ninguna maquina de la LAN ni
de internet el problema es que no se puede establecer la conexion, tengo dos
subredes una 172 y una 192 en la la DMZ tiene ip's tipo 172, cuando una
maquina de la red 192 intenta entrar no puede se queda pasmado y despues de
un tiempo dice connection time out, pero las  maquinas de la red 172
intentan conectarse y les pide la contraseña y después de un tiempo (como 5
minutos mas o menos) se conecta pero es terriblemente lenta encerio haces un
top y se tarda como 1 minutos en escribir cada letra y luego otros 5 minutos
en desplegar el contenido lo curioso es que tengo una vpn implementada en el
gw de la DMZ y me conecto desde mi casa donde tengo una conexión de 2 mb (no
es mucho a mi parecer) y se conecta y trabaja bien en comparación de cuando
me conecto a una de las maquinas de la LAN, no entiendo si es de verdad el
tiempo por que cuando abro el SSH de los dos lados es decir que se pueden
conectar la DMZ hacia la LAN y desde la LAN a la DMZ trabaja bien la
conexión y no es para nada lenta para abrir el puerto en una sola direccion
utilice el modulo state de iptables según yo están bien mis reglas, pero no
se que le pasa a mi iptables las reglas que tengo son estas.

# Generated by iptables-save v1.3.5 on Wed Aug 25 13:20:40 2010
*nat
:PREROUTING ACCEPT [21:1945]
:POSTROUTING ACCEPT [2:216]
:OUTPUT ACCEPT [2:327]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Aug 25 13:20:40 2010
*filter
:INPUT ACCEPT [183:22970]
:FORWARD DROP [18:1634]
:OUTPUT ACCEPT [174:19060]
-A FORWARD -s 172.26.2.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.26.1.0/24 -j ACCEPT
-A FORWARD -s 10.8.0.0/24  -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
COMMIT

aun no esta terminado pero quiero arreglar el problema del puerto 22 el
modulo state lo vie en esta pagina:
http://www.lanux.org.ar/2007/11/24/iptables-parte-2/

Espero que alguien me pueda ayudar de ante mano  muchas gracias y saludos.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100826/39af694c/attachment.html

Más información sobre la lista de distribución CentOS-es