[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !

Dom Sep 22 03:29:11 UTC 2013

Buenas...

Hace dias habia expuesto un problema de configruacion de mis tarjetas de
red el cual quedo solucionado, pero sin darme cuenta existia un cable de
red conectado del router al switch, y cuando me percate lo desconecte ya
que se supone que la configuracion del server es:

eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
eth1 --> ip:10.0.1.1 conectada al switch (red lan).

Servicios del server:

- HTTP abierto para todos (LAN e Internet).
- FTP abierto para todos (LAN e Internet).
- SSH abierto para todos (LAN e Internet).
- Los demas son para la LAN.

Y la idea es:

- El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
- Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple !.
- La navegacion web se redirige al puerto del Squid, se cumple !.
- Los demas puertos a consultar se hacen FW, creo que se cumple !.
- Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
puerta gateway (ip del router).

Problemas y Virtudes:
- No logro hacer ping a ninguna pagina, ni a la IP del router.
- Si puedo hacer ping a los equipos locales.
- Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
mysql).
- Si funciona la redireccion del 80 al puerto squid, ya que si escribo una
palabra restringida, sale la pagina de aviso de Squid.

Mis reglas iptables son:

iptables -F
        iptables -X
        iptables -Z
        iptables -t nat -F

        # politicas por defecto
        iptables -P INPUT ACCEPT                # aceptamos entradas
        iptables -P OUTPUT ACCEPT               # aceptamos salidas
        iptables -P FORWARD ACCEPT              # aceptamos reenvios
        iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia fuera
        iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia dentro
        echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de
reenvios

        iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
        iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
      # ftp y ssh
        iptables -A INPUT -p tcp --dport 80 -j ACCEPT
     # http
        iptables -A INPUT -p tcp --dport 443 -j ACCEPT
      # https
        iptables -A INPUT -p tcp --dport 53 -j ACCEPT
     # dns - dhcp
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                    # portmapper/rpcbind
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                    # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                    # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                     # squid
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                     # squid cache
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                     # nfs
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                     # asterisk
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                     # webmind para LAN

       # forwardnig
        iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
      # ftp y ssh
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
                     # dns - dhcp
        iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
                     # dns -dhcp (udp)
        iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
     # http
        iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
      # https
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
                    # portmapper/rpcbind
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
                    # samba
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
                    # samba
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
                     # squid
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
                     # squid cache
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
                     # nfs
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
                     # asterisk
        iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
                     # webmind para LAN

        iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
        iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

        # enmascaramiento
        iptables -A OUTPUT -j ACCEPT
        iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
--to 192.168.1.1:3128
        iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
192.168.1.1
        iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
    # todo lo que salga de la red, se enmascara
        # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
10.0.1.0/24 -j REDIRECT --to-port 3128

       # denegaciones
        iptables -A INPUT -p tcp --dport 1000 -j DROP
    # denegar webmind
        iptables -A INPUT -p tcp --dport 1:1024 -j DROP
    # cerrar puertos privados
        iptables -A FORWARD -p tcp --dport 1000 -j DROP
    # denegar webmind
        iptables -A FORWARD -j DROP
    # degenamos lo demas

Saludos !

-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.