Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall nhall@unixlan.com.arescribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j REJECT
El 6 de septiembre de 2013 10:37, David González Romero <dgrvedado@gmail.com
escribió:
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall nhall@unixlan.com.arescribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Muchas gracias David. Muy amable.
Normando Hall
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j REJECT
El 6 de septiembre de 2013 10:37, David González Romero <dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall nhall@unixlan.com.arescribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j REJECT
El 6 de septiembre de 2013 10:37, David González Romero <dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall nhall@unixlan.com.arescribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall nhall@unixlan.com.arescribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j
REJECT
El 6 de septiembre de 2013 10:37, David González Romero <
dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall <nhall@unixlan.com.ar
escribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
interfaz
es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Muchas gracias. Probaremos entonces y te comento.
Saludos
El 10/09/2013 05:59 p.m., David González Romero escribió:
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall nhall@unixlan.com.arescribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j
REJECT
El 6 de septiembre de 2013 10:37, David González Romero <
dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall <nhall@unixlan.com.ar
escribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
interfaz
es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Lamentablemente no funciona ya que puedo seguir pingueando desde una IP externa NO comprendida dentro de 172.xxx....
Esta es la configuración que tengo en iptables con las reglas que me has pasado.
iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 60M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 120 5569 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3307 198K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0 3 336 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 4095 190K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20 0.0.0.0/0 0 0 REJECT all -- eth0:2 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth0 * 172.16.0.0/20 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes) pkts bytes target prot opt in out source destination
El 10/09/2013 06:04 p.m., Normando Hall escribió:
Muchas gracias. Probaremos entonces y te comento.
Saludos
El 10/09/2013 05:59 p.m., David González Romero escribió:
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall nhall@unixlan.com.arescribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j
REJECT
El 6 de septiembre de 2013 10:37, David González Romero <
dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall <nhall@unixlan.com.ar
escribió:
Hola amigos listeros.
Tengo configurado en centos6 strongswan que está bindeado a eth0:2. Quiero que esta interfaz sólo atienda a la vpn ignorando todo tráfico externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
interfaz
es una ip pública 190.210.xxx.xxx
Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) debe ser ignorada por esta interfaz.
Muchas gracias
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Ahora una pregunta 172.x es un interfase virtual de 192.x??
En todo caso debería funcionar lo siguiente
iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT
Al final todo va a entrar por eth0, ya que eth0:1 seria solo una vitualización y no hay impedimento de ruteo entre ambas interfaces, ya que por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o por iptables
Saludos, David
El 29 de septiembre de 2013 02:47, Normando Hall nhall@unixlan.com.arescribió:
Lamentablemente no funciona ya que puedo seguir pingueando desde una IP externa NO comprendida dentro de 172.xxx....
Esta es la configuración que tengo en iptables con las reglas que me has pasado.
iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 60M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 120 5569 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3307 198K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0 3 336 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 4095 190K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20 0.0.0.0/0 0 0 REJECT all -- eth0:2 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth0 * 172.16.0.0/20 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes) pkts bytes target prot opt in out source destination
El 10/09/2013 06:04 p.m., Normando Hall escribió:
Muchas gracias. Probaremos entonces y te comento.
Saludos
El 10/09/2013 05:59 p.m., David González Romero escribió:
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall <nhall@unixlan.com.ar
escribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j
REJECT
El 6 de septiembre de 2013 10:37, David González Romero <
dgrvedado@gmail.com
escribió: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
Saludos, David
El 6 de septiembre de 2013 04:18, Normando Hall <
nhall@unixlan.com.ar
escribió:
Hola amigos listeros. > Tengo configurado en centos6 strongswan que está bindeado a eth0:2. > Quiero que esta interfaz sólo atienda a la vpn ignorando todo
tráfico
> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
interfaz
> es una ip pública 190.210.xxx.xxx > > Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) > debe ser ignorada por esta interfaz. > > Muchas gracias > > -- > Normando Hall > Rosario - Argentina > normandohall@gmail.com > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es >
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Hola David.
El tema es asi. Tengo una interfaz real eth0 con una IP externa. Luego tengo 2 interfaces virtuales mas, eth0:1 y eth0:2, ambas tambien con otras IP externas. Además, tengo funcionando una VPN sobre eth0:2 (strongswan) con el siguiente esquema site to site:
172.16.x (eth0:2) --- eth0 --- internet
Ambas eth0 y eth0:2 tiene una IP publica y ven internet. La diferencia es que yo cree una VPN sobre eth0:2 que me crea ip virtuales 172.16.x y que utiliza como GW eth0 para conectarme al vpn de cisco del otro lado.
No se si fui claro, es algo medio confuso creo. El tema es que no deseo que en eth0:2 ingresen paquetes directamente desde internet, sino sólo los que tengan de origen los de la vpn (172.16.xx). El esquema es este:
http://www.strongswan.org/uml/testresults/ikev2/net2net-psk/
Mi servidor sería "moon" y en el dibujo la eth1 sería mi eth0:2 que tambíén tiene una IP pública.
Saludos Normando
El 30/09/2013 08:45 a.m., David González Romero escribió:
Ahora una pregunta 172.x es un interfase virtual de 192.x??
En todo caso debería funcionar lo siguiente
iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT
Al final todo va a entrar por eth0, ya que eth0:1 seria solo una vitualización y no hay impedimento de ruteo entre ambas interfaces, ya que por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o por iptables
Saludos, David
El 29 de septiembre de 2013 02:47, Normando Hall nhall@unixlan.com.arescribió:
Lamentablemente no funciona ya que puedo seguir pingueando desde una IP externa NO comprendida dentro de 172.xxx....
Esta es la configuración que tengo en iptables con las reglas que me has pasado.
iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 60M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 120 5569 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3307 198K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0 3 336 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 4095 190K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20 0.0.0.0/0 0 0 REJECT all -- eth0:2 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth0 * 172.16.0.0/20 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes) pkts bytes target prot opt in out source destination
El 10/09/2013 06:04 p.m., Normando Hall escribió:
Muchas gracias. Probaremos entonces y te comento.
Saludos
El 10/09/2013 05:59 p.m., David González Romero escribió:
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall <nhall@unixlan.com.ar
escribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
Perdon me equivoque: iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j
REJECT
El 6 de septiembre de 2013 10:37, David González Romero <
dgrvedado@gmail.com
> escribió: > iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT > > Saludos, > David > > > El 6 de septiembre de 2013 04:18, Normando Hall <
nhall@unixlan.com.ar
escribió: > Hola amigos listeros. >> Tengo configurado en centos6 strongswan que está bindeado a eth0:2. >> Quiero que esta interfaz sólo atienda a la vpn ignorando todo
tráfico
>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
interfaz
>> es una ip pública 190.210.xxx.xxx >> >> Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) >> debe ser ignorada por esta interfaz. >> >> Muchas gracias >> >> -- >> Normando Hall >> Rosario - Argentina >> normandohall@gmail.com >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Bueno entonces lo que te pase va en esta modificación:
iptables -A INPUT -i eth0:2 -d 172.16.x.x -s 172.16.x.x -p all -j ACCEPT En la anterior regla le dices que IPtables que todo lo que venga por la interface eth0:2 con destino 172.16.x.x y desde una fuente 172.16.x.x con cualquier protocolo, lo ACEPTAS.
iptables -A INPUT -i eth0:2 -d 172.16.x.x -s 0/0 -p all -j REJECT En esta ultima le dices que todo lo que venga de interface eth0:2 con destino 172.16.x.x y desde cualquier fuente 0/0 y cualquier protocolo, lo deniegues, tambien puedes hacer DROP. Solo que DROP implica que no de una respuesta al paquete o solicitud y se quede ahi esperando una respuesta, lo que implica si o si trafico. Con REJECT das respuesta de rechazo y el trafico se corta.
En cualquier medida con eth0 suponiendo que las IP publicas sean del tipo que sean, deberás hacer reglas para ellas.
Ahora pregunto, no puedes usar interfaces reales en vez de virtuales para montar tu VPN? O sea no puedes tener eth0, eth1 y si fuera el caso eth2?
Saludos, David
El 30 de septiembre de 2013 09:29, Normando Hall nhall@unixlan.com.arescribió:
Hola David.
El tema es asi. Tengo una interfaz real eth0 con una IP externa. Luego tengo 2 interfaces virtuales mas, eth0:1 y eth0:2, ambas tambien con otras IP externas. Además, tengo funcionando una VPN sobre eth0:2 (strongswan) con el siguiente esquema site to site:
172.16.x (eth0:2) --- eth0 --- internet
Ambas eth0 y eth0:2 tiene una IP publica y ven internet. La diferencia es que yo cree una VPN sobre eth0:2 que me crea ip virtuales 172.16.x y que utiliza como GW eth0 para conectarme al vpn de cisco del otro lado.
No se si fui claro, es algo medio confuso creo. El tema es que no deseo que en eth0:2 ingresen paquetes directamente desde internet, sino sólo los que tengan de origen los de la vpn (172.16.xx). El esquema es este:
http://www.strongswan.org/uml/testresults/ikev2/net2net-psk/
Mi servidor sería "moon" y en el dibujo la eth1 sería mi eth0:2 que tambíén tiene una IP pública.
Saludos Normando
El 30/09/2013 08:45 a.m., David González Romero escribió:
Ahora una pregunta 172.x es un interfase virtual de 192.x??
En todo caso debería funcionar lo siguiente
iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT
Al final todo va a entrar por eth0, ya que eth0:1 seria solo una vitualización y no hay impedimento de ruteo entre ambas interfaces, ya
que
por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o
por
iptables
Saludos, David
El 29 de septiembre de 2013 02:47, Normando Hall <nhall@unixlan.com.ar escribió:
Lamentablemente no funciona ya que puedo seguir pingueando desde una IP externa NO comprendida dentro de 172.xxx....
Esta es la configuración que tengo en iptables con las reglas que me has pasado.
iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 60M 29G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 120 5569 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3307 198K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0 3 336 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 4095 190K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20 0.0.0.0/0 0 0 REJECT all -- eth0:2 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth0 * 172.16.0.0/20 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes) pkts bytes target prot opt in out source destination
El 10/09/2013 06:04 p.m., Normando Hall escribió:
Muchas gracias. Probaremos entonces y te comento.
Saludos
El 10/09/2013 05:59 p.m., David González Romero escribió:
En realidad eso lo pone el navegador
Seria asi sin el enlace
iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
Asi debería quedar...
Saludos, David
El 10 de septiembre de 2013 16:49, Normando Hall <
nhall@unixlan.com.ar
escribió:
David una consulta.
En la segunda reglas especificas el protocolo http:
Es correcto? Y debe ir asi encerrado entre los signos <>?
Gracias
El 06/09/2013 11:38 a.m., David González Romero escribió:
> Perdon me equivoque: > iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT > iptables -A INPUT -i eth0:2 -s 0 http://172.16.0.0/8/0 -p all -j REJECT > El 6 de septiembre de 2013 10:37, David González Romero < dgrvedado@gmail.com >> escribió: >> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT >> >> Saludos, >> David >> >> >> El 6 de septiembre de 2013 04:18, Normando Hall <
nhall@unixlan.com.ar
> escribió: >> Hola amigos listeros. >>> Tengo configurado en centos6 strongswan que está bindeado a
eth0:2.
>>> Quiero que esta interfaz sólo atienda a la vpn ignorando todo
tráfico
>>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la interfaz >>> es una ip pública 190.210.xxx.xxx >>> >>> Por ejemplo, cualquier solicitud hecha por fuera de la vpn
(172.xxx)
>>> debe ser ignorada por esta interfaz. >>> >>> Muchas gracias >>> >>> -- >>> Normando Hall >>> Rosario - Argentina >>> normandohall@gmail.com >>> >>> _______________________________________________ >>> CentOS-es mailing list >>> CentOS-es@centos.org >>> http://lists.centos.org/mailman/listinfo/centos-es >>> > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es
>
Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Normando Hall Rosario - Argentina normandohall@gmail.com
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
David González Romero -
Normando Hall