Re: [CentOS-es] Firewall en VPN

27 Oct 2014

      Gracias Francesc si el firewall esta solo en la oficina A, como comente 
bajo mi firewall y al conexión se efectua te paso al salida del comando 
iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            127.0.0.0/8 reject-with 
icmp-port-unreachable
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0
ACCEPT     41   --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  192.168.0.0/24       0.0.0.0/0 reject-with 
icmp-port-unreachable
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
limit: avg 1/sec burst 5
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137 
reject-with icmp-port-unreachable
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state 
RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1976
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:587
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:11200
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3389
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: MSSQL '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1433
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Deepthrt '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6670
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6711
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6712
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Sub7 '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6713
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:12345
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:12346
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: Netbus '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20034
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: BO '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:31337
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet: XWin '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:6000
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp 
dpts:33434:33523
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:113 
reject-with icmp-port-unreachable
REJECT     2    --  0.0.0.0/0            0.0.0.0/0 reject-with 
icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
reject-with icmp-port-unreachable
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet:'
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0 reject-with tcp-reset
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "accounts.google.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "hi5.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "yahoo.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "spotify.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "imo.im" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "twitter.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "facebook" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "facebook.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "login.live.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "outlook" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "live.com" ALGO name bm TO 65535
FACEBOOK1  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "hotmail.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "accounts.google.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "hi5.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "yahoo.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "spotify.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "imo.im" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "twitter.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "facebook" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "facebook.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "login.live.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "outlook" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "live.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
STRING match "hotmail.com" ALGO name bm TO 65535
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
destination IP range 0.0.0.0-0.0.0.0
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
dpt:55347 reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.0/24      tcp dpt:3389
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:137 
reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:138 
reject-with icmp-port-unreachable
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139 
reject-with icmp-port-unreachable
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:137 
reject-with icmp-port-unreachable
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:138 
reject-with icmp-port-unreachable
REJECT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:139 
reject-with icmp-port-unreachable
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state 
RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.3         tcp dpt:3389
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp 
flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix 
`Firewalled packet:'
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0 reject-with tcp-reset
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24
ACCEPT     tcp  --  0.0.0.0/0            192.168.1.0/24
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
Chain FACEBOOK (31 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.10         0.0.0.0/0
ACCEPT     all  --  192.168.0.103        0.0.0.0/0
ACCEPT     all  --  192.168.0.122        0.0.0.0/0
ACCEPT     all  --  192.168.0.140        0.0.0.0/0
ACCEPT     all  --  192.168.0.142        0.0.0.0/0
ACCEPT     all  --  192.168.0.154        0.0.0.0/0
ACCEPT     all  --  192.168.0.170        0.0.0.0/0
ACCEPT     all  --  192.168.0.28         0.0.0.0/0
ACCEPT     all  --  192.168.0.3          0.0.0.0/0
ACCEPT     all  --  192.168.0.30         0.0.0.0/0
ACCEPT     all  --  192.168.0.52         0.0.0.0/0
ACCEPT     all  --  192.168.0.61         0.0.0.0/0
ACCEPT     all  --  192.168.0.63         0.0.0.0/0
ACCEPT     all  --  192.168.0.64         0.0.0.0/0
ACCEPT     all  --  192.168.0.67         0.0.0.0/0
ACCEPT     all  --  192.168.0.69         0.0.0.0/0
ACCEPT     all  --  192.168.0.7          0.0.0.0/0
ACCEPT     all  --  192.168.0.8          0.0.0.0/0
ACCEPT     all  --  192.168.0.83         0.0.0.0/0
ACCEPT     all  --  192.168.1.0          0.0.0.0/0
ACCEPT     all  --  192.168.1.150        0.0.0.0/0
ACCEPT     all  --  192.168.1.7          0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Chain FACEBOOK1 (20 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.10         0.0.0.0/0
ACCEPT     all  --  192.168.0.103        0.0.0.0/0
ACCEPT     all  --  192.168.0.122        0.0.0.0/0
ACCEPT     all  --  192.168.0.140        0.0.0.0/0
ACCEPT     all  --  192.168.0.142        0.0.0.0/0
ACCEPT     all  --  192.168.0.154        0.0.0.0/0
ACCEPT     all  --  192.168.0.170        0.0.0.0/0
ACCEPT     all  --  192.168.0.28         0.0.0.0/0
ACCEPT     all  --  192.168.0.3          0.0.0.0/0
ACCEPT     all  --  192.168.0.30         0.0.0.0/0
ACCEPT     all  --  192.168.0.52         0.0.0.0/0
ACCEPT     all  --  192.168.0.61         0.0.0.0/0
ACCEPT     all  --  192.168.0.63         0.0.0.0/0
ACCEPT     all  --  192.168.0.64         0.0.0.0/0
ACCEPT     all  --  192.168.0.67         0.0.0.0/0
ACCEPT     all  --  192.168.0.69         0.0.0.0/0
ACCEPT     all  --  192.168.0.7          0.0.0.0/0
ACCEPT     all  --  192.168.0.8          0.0.0.0/0
ACCEPT     all  --  192.168.0.83         0.0.0.0/0
ACCEPT     all  --  192.168.1.0          0.0.0.0/0
ACCEPT     all  --  192.168.1.150        0.0.0.0/0
ACCEPT     all  --  192.168.1.7          0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0
-- 
Saludos Cordiales

On 27/10/14 16:45, Francesc Guitart wrote:
> Hola César,
>
> Para poder ver qué otras reglas hay en el firewall, pero sobretodo, en 
> qué orden envía la salida del comando iptables -L -n
>
> Entiendo que las reglas que pones están en un firewall en la oficina A 
> ¿No hay firewall en la oficina B?
>
> El 27/10/14 a las 22:21, César Martinez escribió:
>> Saludos amigos acudo a ustedes haber quien me puede echar una mano,
>> tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall,
>> existe una VPN que tiene montada el proveedor de internet con dos
>> routers entre dos ciudades, le pedí al proveedor que todo el tráfico que
>> genera el tunel se envie a mi servidor de tal forma que yo controlo
>> todos los accesos del tunel de los usuarios, el segmento que maneja la
>> red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X,
>> necesito que desde la oficina en la red 192.168.1.X pueda abrir el
>> escritorio remoto de un servidor con windows via terminal server por el
>> puerto 3389, para ello he creado estas reglas
>>
>> $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT
>> $IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
>> $IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT
>> $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport
>> 3389 -j ACCEPT
>>
>> Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j
>> ACCEPT
>>
>> No logro hacer que desde la red local del otro segmento se abra la
>> terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para
>> probar si es mi firewall le bajo momentaneamente y sin problemas se abre
>> el terminal desde la red B hacia la A
>>
>> Agradezco a las personas que me puedan guiar que me hace falta para que
>> puedan usar el terminal sin problemas
>>
>
>
>

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

Re: [CentOS-es] Firewall en VPN