buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta. eth0 -- 192.168.2.2/24 --- al router eth1 -- 192.168.210.1/24 --- LAN eth1:0 -- 192.168.205.1/24 --- LAN (SE QUIERE AGREGAR) ## REGLAS DE FIREWALL iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 195.168.210.1/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 10000 -j DROP ############################################## intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT
iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas
2010/9/29 Roberto Panta Arcos roberto_panta@hotmail.com:
buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta.
-snip-
intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas
Si eliminas la cláusula "-i eth1:0" de las últimas líneas debería quedar funcionando tu política. Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es la dirección que has elegido (y estaría mal de ser así porque no se trata de una dirección privada).
disculpen... iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay conexion si no es mucha molestia ... como deberia estar las reglas para q haya conexion de la lam a la red q va al router??
From: eduardo.grosclaude@gmail.com Date: Wed, 29 Sep 2010 14:30:50 -0300 To: centos-es@centos.org Subject: Re: [CentOS-es] iptables con interfaces virtuales
2010/9/29 Roberto Panta Arcos roberto_panta@hotmail.com:
buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta.
-snip-
intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas
Si eliminas la cláusula "-i eth1:0" de las últimas líneas debería quedar funcionando tu política. Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es la dirección que has elegido (y estaría mal de ser así porque no se trata de una dirección privada).
-- Eduardo Grosclaude Universidad Nacional del Comahue Neuquen, Argentina _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
2010/9/29 Roberto Panta Arcos roberto_panta@hotmail.com:
disculpen... iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay conexion si no es mucha molestia ... como deberia estar las reglas para q haya conexion de la lam a la red q va al router??
Disculpa pero no comprendo bien lo que dices. No estoy seguro de cuál es el efecto que estás viendo. El router que mencionas en tu pregunta anterior, es el firewall o te refieres a otro equipo? Calculo que te refieres a otro equipo que te comunica con el resto de Internet, más allá de la eth0 del firewall, y posiblemente a través de la dirección 192.168.2.1.
Si esto es así, me parece que lo que te falta es tratar a la interfaz virtual nueva al mismo nivel que la eth1 en las reglas de iptables (por ejemplo, agregando una regla de masquerading para lo que venga por esa interfaz virtual y se dirija al exterior se mapee en postrouting a la dirección 192.168.2.2). El hecho de compartir una interfaz de hardware no le agrega ni le quita nada como interfaz; por lo que a ella respecta puedes olvidarte de que coexiste con eth1 y tienes que tratarla de la misma manera que a la eth1 en iptables, a nivel de rutas, etc.
Por el mismo motivo, todos los hosts situados sobre la nueva red 192.168.205.0/24 deberían tener direcciones sobre esa red aunque compartan el cableado con la anterior LAN, y su gateway por defecto debería ser 192.168.205.1. SIn lo cual no podrá salir ningún tráfico de esa LAN.
-
Eduardo Grosclaude -
Roberto Panta Arcos