[CentOS-es] [iptables] No logro llegar al Router, no tengo navegacion !
angel jauregui
darkdiabliyo en gmail.com
Lun Sep 23 21:18:45 UTC 2013
Estuve pensando poner las reglas iniciales "iptables -P INPUT ACCEPT" por
"DROP", pero el detalle es que al momento de que el navegador de conecta a
internet usa un puertos distinto al destino (80) por lo cual se queda
pensando.
Hice pruebas poninendo:
iptables -P INPUT -j DROP
iptables -P FORWARD -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
Y se quedaba pensando el navegador, jamas mosotro la pagina....
Saludos !
El 23 de septiembre de 2013 16:11, angel jauregui
<darkdiabliyo en gmail.com>escribió:
> oooo que maravilla :D.... era el maldito cable... en serio que voy a
> enmarcar ese cable de red y le ponde "el maldito cable que me hizo bullying
> de red".
>
> Ya hice pruebas en los equipos de red y ya logro hacer ping a la IP del
> router 192.168.1.254 y a cualquier pagina.
>
> Ahora solo me gustaria aclarar algunos comentarios que me hicieron en un
> foro sobre mis reglas IPTABLES en la parte de "#enmascaramientos", ustedes
> que opinan ??:
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # politicas por defecto
> iptables -P INPUT ACCEPT # denegamos entradas
> iptables -P OUTPUT ACCEPT # aceptamos salidas
> iptables -P FORWARD ACCEPT # denegamos reenvios
> iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
> iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia
> dentro
> echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de
> reenvios
>
> iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
> iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT
> # webmind para LAN
>
> # forwardnig
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT
> # ftp y ssh
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT
> # dns - dhcp
> iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT
> # dns -dhcp (udp)
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
> # http
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
> # https
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT
> # portmapper/rpcbind
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j
> ACCEPT # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT
> # samba
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT
> # squid
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT
> # squid cache
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT
> # nfs
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT
> # asterisk
> iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 10000 -j ACCEPT
> # webmind para LAN
>
> iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
> iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
>
> # enmascaramiento
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to
> 192.168.1.1 # cambiamos la direccion source
> iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j
> MASQUERADE # enmascaramos
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT
> --to 192.168.1.1:3128 # con destino al 80 en eth1 lo cambiamos
>
> Como verán el firewall es estricto, si en la empresa no me confirman que
> abramos un servicio interno o para el exterior, no sale.... solo lo
> confirmado:
>
> - Para todos (de adentro y fuera [internet]): 80, 21 y 22.
> - Para lo demas va controlado solo la red interna "-s".
> - Para los Forward (conexion afuera) va controlada por "-s"
>
> Saludos !
>
>
>
> El 23 de septiembre de 2013 15:25, angel jauregui <darkdiabliyo en gmail.com>escribió:
>
> Acabo de cambiar el cable de red que va del router a la eth0 del server y
>> ahora puedo hacer ping desde el server hacia la IP del router y cualquier
>> web.
>>
>> Voy a probar en los demas equipos de la red.
>>
>> Saludos !
>>
>>
>> El 23 de septiembre de 2013 15:18, angel jauregui <darkdiabliyo en gmail.com
>> > escribió:
>>
>> ## RENE
>>>
>>> Mis equipos están en el segmento 10.0.1.0/24, se asignan IPs de
>>> 10.0.1.2 a 10.0.1.254....
>>>
>>> La red 192.168.1.0/24 es el rango de IPs que maneja el server para
>>> hacer su propia red, por lo cual no muevo dicha configuración alcabo solo
>>> existiran 2 IPs...
>>>
>>> 1- La ip del router: 192.168.1.254
>>> 2- La ip estatica del server: 192.168.1.1 (eth0).
>>>
>>> En el segmento 10.0.1.0/24 no tengo problemas para compartir
>>> información, consultar los servicios del server (apache, mysql, nfs. samba,
>>> etc...).
>>>
>>> El problema es al momento de intentar acceder a una web, los paquetes
>>> como que no llegan al router, creo que mi problema se centra mal en las
>>> reglas IPTABLES, algo estoy haciendo mal o algo me falta.
>>>
>>> ## DAVID
>>>
>>> "pingera" me imagino te refieres hacer ping a un dominio o ip... Y pues
>>> lo uso con la idea se saber si se esta existiendo funcionamiento, vaya,
>>> tambien uso: "host google.com" para ver si resuelve. Vaya, pruebas
>>> basicas para saber si mis paquetes circulan como deb (de la PC al server,
>>> del server al router, y viceversa).
>>>
>>> Fijate que * NO PUEDO llegar la router* desde el server, y vaya que
>>> esta conectado a la eth0.
>>>
>>> Mi configuración:
>>>
>>> *server# ifconfig -a *
>>> eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55
>>> inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
>>>
>>> eth1 Link encap:Ethernet HWaddr 66:77:88:99:aa:bb
>>> inet addr:10.0.1.1 Bcast:10.0.1.255 Mask:255.255.255.0
>>>
>>> *server# router*
>>> 10.0.1.0 * 255.255.255.0 U 0 0 0
>>> eth1
>>> 192.168.1.0 * 255.255.255.0 U 0 0 0
>>> eth0
>>> link-local * 255.255.0.0 U 1002 0 0
>>> eth1
>>> link-local * 255.255.0.0 U 1003 0 0
>>> eth0
>>> default home 0.0.0.0 UG 0 0 0
>>> eth0
>>>
>>> *server# ping 192.168.1.254*
>>> PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
>>> From 192.168.1.1 icmp_seq=3 Destination Host Unreachable
>>>
>>> Saludos !
>>>
>>>
>>>
>>>
>>>
>>>
>>> El 23 de septiembre de 2013 14:03, David González Romero <
>>> dgrvedado en gmail.com> escribió:
>>>
>>> Yo no soy partidario de este esquema que propones de poner el
>>>> Modem-Router
>>>> directo al servidor. Porque entonces el conceto DMZ queda obsoleto ahi.
>>>> Esta bien su esquema de red. Lo que yo me cuestiono es si realmente el
>>>> necesito que los clientes de la red 10.0.1.0/24 puedan "pingear" a
>>>> internet. Y no me queda claro si el servidor en SI ve internet mismo...
>>>>
>>>> Saludos,
>>>> David
>>>>
>>>>
>>>> El 23 de septiembre de 2013 15:56, RENE LARA ALVARADO <
>>>> sistemas en trimaso.com.mx> escribió:
>>>>
>>>> > Creo que bajo tu esquema, deseeas usar tu servidor (maq con dos
>>>> > interfaces de red y en distinta red)
>>>> > con la funcion de ruteador.
>>>> >
>>>> > A reserva de si es conveniente o no, en ese caso sería mejor que
>>>> > pusieras tu modem-router en modo
>>>> > puente, conectado a una de las interfases.
>>>> >
>>>> > De esa forma solo lidiaras solo don dos redes y no con tres.
>>>> > La direccion ip que te asigna el proveedor quedará en una de las
>>>> > tarjetas y en la otra tu la red
>>>> > de tus equipos
>>>> > r.lara
>>>> >
>>>> > _______________________________________________
>>>> > CentOS-es mailing list
>>>> > CentOS-es en centos.org
>>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>>> >
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>>
>>>
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es