[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
Rodolfo Vargas
edgarr789 en gmail.com
Dom Sep 22 08:23:45 UTC 2013
El 21/09/13, angel jauregui <darkdiabliyo en gmail.com> escribió:
> Buenas...
>
> Hace dias habia expuesto un problema de configruacion de mis tarjetas de
> red el cual quedo solucionado, pero sin darme cuenta existia un cable de
Quedó solucionado?¿
> red conectado del router al switch, y cuando me percate lo desconecte ya
> que se supone que la configuracion del server es:
NO debería haber problema
>
> eth0 --> ip:192.168.1.1 conectada al router (192.168.1.254).
> eth1 --> ip:10.0.1.1 conectada al switch (red lan).
>
> Servicios del server:
>
> - HTTP abierto para todos (LAN e Internet).
> - FTP abierto para todos (LAN e Internet).
> - SSH abierto para todos (LAN e Internet).
> - Los demas son para la LAN.
>
> Y la idea es:
>
> - El segmento de red asignado es: 10.0.1.0/24, y se esta cumpliendo !.
Le hemos dicho POR QUÉ usted usa 10.0.1.0/24? que clase de ip estas
usando? ES CLASE A y su máscara es 255.0.0.0, máscara 255.255.255.0 es
para clase C, o esta subneteado? no respondió tampoco.
> - Los clientes tiene como Gateway la ip del server (10.0.1.1), se cumple !.
> - La navegacion web se redirige al puerto del Squid, se cumple !.
> - Los demas puertos a consultar se hacen FW, creo que se cumple !.
> - Se supone que lo que entra por eth1 (lan) de sacarse por eth0 por la
> puerta gateway (ip del router).
>
> Problemas y Virtudes:
> - No logro hacer ping a ninguna pagina, ni a la IP del router.
Jajajaj, señor usted en pruimer lugar debe usar ips, luego recién
verificar si resuelve nombres, bueno eso yo hago :), dijo que resolvió
el problema de red antes, al parecer no solucionó dicho detalle,
primero debe asignar BIEN los parámetros de red, luego verificar, la
forma más común es usando ping, LIMPIANDO PRIMERO REGLAS si las hay,
hacer ping entre todas las interfaces por decir, tanto en la red lan y
fuera, si todo va bien recien aplicar reglas en firewall (es un
consejo que le doy)
> - Si puedo hacer ping a los equipos locales.
Pero verifique por qué usa la máscara que no le corresponde a esa clase A de ip
> - Si obtengo todos los servicios de red local (dhcp, asterisk, ftp, http,
> mysql).
> - Si funciona la redireccion del 80 al puerto squid, ya que si escribo una
> palabra restringida, sale la pagina de aviso de Squid.
>
> Mis reglas iptables son:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT # aceptamos entradas
> iptables -P OUTPUT ACCEPT # aceptamos salidas
> iptables -P FORWARD ACCEPT # aceptamos reenvios
> iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind para LAN
>
> # forwardnig
> iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
> # dns -dhcp (udp)
> iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>
> # enmascaramiento
> iptables -A OUTPUT -j ACCEPT
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> --to 192.168.1.1:3128
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
> # todo lo que salga de la red, se enmascara
> # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s
> 10.0.1.0/24 -j REDIRECT --to-port 3128
>
>
> # denegaciones
> iptables -A INPUT -p tcp --dport 1000 -j DROP
> # denegar webmind
> iptables -A INPUT -p tcp --dport 1:1024 -j DROP
> # cerrar puertos privados
> iptables -A FORWARD -p tcp --dport 1000 -j DROP
> # denegar webmind
> iptables -A FORWARD -j DROP
> # degenamos lo demas
>
> Saludos !
>
Ya le han dado consejos, creo que ni los toma en cuenta, lo que le
aconsejo es iptables -F, luego aplique manualmente NAT y vea si logra
salir hacia afuera y hacer ping entre todas las interfaces, osea a los
segmentos de red, es demasiado básico el escenario que plantea,
debería funcionar, vaya por partes, en fin solo usted entiende lo que
quiere hacer :), saludos y suerte, ya le dije lea sobre ipv4, NAT
(entender no solo escribir)
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
Live free or die!
Más información sobre la lista de distribución CentOS-es