Hola a todos es mi primer post para la lista de centos y les quiero consultar sobre un tema de redireccionamiento. Tengo un firewall/proxy (iptables/squid) en centos 5, ahora este serv. cuenta con una ip publica 12.12.12.5, asimismo, dentro de mi lan tengo un serv. que la hara de extranet configurado con iis bajo el puerto 83 con una ip 192.168.0.2, lo que deseo es q las peticiones al sgt link: por ejemplo: www.miextranet:83/extranet por medio del firewall redirecione a la ip del serv. extarnet la el cual es 192.168.0.2. para acceder desde el ser. extranet lo hago poniendo www.192.168.0.2:83/extranet . Ahora esto es lo que tengo en mi firewall: ETH1 INTERNET - ETH0 LAN # Vaciado de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica predeterminada: DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE #Todo pasa por el squid iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ##Redireccionar trafico que proviene desde la ip-publica del FW al serv-web iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 12.12.12.5 iptables -t nat -A PREROUTING -i eth1 -s 0/0 -p tcp --dport 83 -j DNAT --to-destination 192.168.0.2:83 ## Acceso desde la red iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Configuramos el acceso a nuestra IP iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp --sport 1:1024 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp --dport 1025:65535 ! --syn -j ACCEPT iptables -A INPUT -s 0/0 -p udp --sport 1:1024 -j ACCEPT iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp --sport 1025:65535 -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT ## Servidores WEB # Acceso a puertos 80 #iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #iptables -A FORWARD -p tcp --sport 80 -j ACCEPT #iptables -A FORWARD -p tcp --dport 443 -d 0/0 -j ACCEPT #iptables -A FORWARD -p tcp --sport 443 -d 0/0 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED --sport 443 -j ACCEPT # Acceso a puertos 20 y 21 para ftp iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT # Acceso a DNS iptables -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p udp --sport 53 -j ACCEPT ## correo electr�nico # Acceso a puerto 25, 110 y 143 iptables -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -p tcp --sport 110 -j ACCEPT iptables -A FORWARD -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -p tcp --sport 143 -j ACCEPT
que estoy haciendo mal o q me falta poner segun mi creterio y mis pocos conocimientos con la regla que esta en negrita es suficiente. help
Que tal, ... aqui te anexo lo que tienes que modificar en tu script y con esto va a funcionar
Ejecutas esto en lineas de comandos
arp -Ds 111.222.333.44 eth1 pub route add 111.222.333.44 dev eth1
Despues agregas lo de abajo y ejecutas tu shell
IPTABLES="/sbin/iptables" EXTERNAL="eth1" # External Interface INTERNAL="eth0" # Internal Interface
WEB="111.222.333.44" #Ip de tu fw que se redireccionara al serv de paginas web WEB1="192.168.xx.55" # Ip de tu servidor de tu lan interna
#HTTP $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p tcp -d $CORREO --dport 83 -j DNAT --to-destination $CORREO1:83 $IPTABLES -A PREROUTING -t nat -i $EXTERNAL -p udp -d $CORREO --dport 83 -j DNAT --to-destination $CORREO1:83 $IPTABLES -A FORWARD -i $EXTERNAL -p tcp -d $CORREO1 --dport 83 -j ACCEPT $IPTABLES -A FORWARD -i $EXTERNAL -p udp -d $CORREO1 --dport 83 -j ACCEPT
Saludos
On Mon, 4 Jan 2010 17:54:35 +0000 (GMT), wilder Deza wrote:
Hola a todos es mi primer post para la lista de centos y les quiero consultar sobre un tema de redireccionamiento. Tengo un firewall/proxy (iptables/squid) en centos 5, ahora este serv. cuenta con una ip publica 12.12.12.5, asimismo, dentro de mi lan tengo un serv. que la hara de extranet configurado con iis bajo el puerto 83 con una ip 192.168.0.2, lo que deseo es q las peticiones al sgt link: por ejemplo: www.miextranet:83/extranet [1] por medio del firewall redirecione a la ip del serv. extarnet la el cual es 192.168.0.2. para acceder desde el ser. extranet lo hago poniendo www.192.168.0.2:83/extranet [2] . Ahora esto es lo que tengo en mi firewall: ETH1 INTERNET - ETH0 LAN # Vaciado de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica predeterminada: DROP iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE #Todo pasa por el squid iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ##Redireccionar trafico que proviene desde la ip-publica del FW al serv-web iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 12.12.12.5 iptables -t nat -A PREROUTING -i eth1 -s 0/0 -p tcp --dport 83 -j DNAT --to-destination 192.168.0.2:83 ## Acceso desde la red iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Configuramos el acceso a nuestra IP iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp --sport 1:1024 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp --dport 1025:65535 ! --syn -j ACCEPT iptables -A INPUT -s 0/0 -p udp --sport 1:1024 -j ACCEPT iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp --sport 1025:65535 -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT ## Servidores WEB # Acceso a puertos 80 #iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #iptables -A FORWARD -p tcp --sport 80 -j ACCEPT #iptables -A FORWARD -p tcp --dport 443 -d 0/0 -j ACCEPT #iptables -A FORWARD -p tcp --sport 443 -d 0/0 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED --sport 443 -j ACCEPT # Acceso a puertos 20 y 21 para ftp iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT # Acceso a DNS iptables -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p udp --sport 53 -j ACCEPT ## correo electr�nico # Acceso a puerto 25, 110 y 143 iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -p tcp --sport 110 -j ACCEPT iptables -A FORWARD -p tcp --dport 143 -j ACCEPT iptables -A FORWARD -p tcp --sport 143 -j ACCEPT
QUE ESTOY HACIENDO MAL O Q ME FALTA PONER SEGUN MI CRETERIO Y MIS POCOS CONOCIMIENTOS CON LA REGLA QUE ESTA EN NEGRITA ES SUFICIENTE. HELP
-
Lic. Domingo Varela Yahuitl -
wilder Deza