[CentOS-es] Bloquear acceso externo en una interfaz y dejar solo la vpn
David González Romero
dgrvedado en gmail.com
Lun Sep 30 11:45:39 UTC 2013
Ahora una pregunta 172.x es un interfase virtual de 192.x??
En todo caso debería funcionar lo siguiente
iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT
iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT
iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT
Al final todo va a entrar por eth0, ya que eth0:1 seria solo una
vitualización y no hay impedimento de ruteo entre ambas interfaces, ya que
por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o por
iptables
Saludos,
David
El 29 de septiembre de 2013 02:47, Normando Hall <nhall en unixlan.com.ar>escribió:
> Lamentablemente no funciona ya que puedo seguir pingueando desde una IP
> externa NO comprendida dentro de 172.xxx....
>
> Esta es la configuración que tengo en iptables con las reglas que me has
> pasado.
>
> iptables -nvL
> Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source
> destination
> 60M 29G ACCEPT all -- * * 0.0.0.0/0
> 0.0.0.0/0 state RELATED,ESTABLISHED
> 120 5569 ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0
> 3307 198K ACCEPT all -- lo * 0.0.0.0/0
> 0.0.0.0/0
> 0 0 ACCEPT ah -- * * 0.0.0.0/0
> 0.0.0.0/0
> 3 336 ACCEPT esp -- * * 0.0.0.0/0
> 0.0.0.0/0
> 4095 190K REJECT all -- * * 0.0.0.0/0
> 0.0.0.0/0 reject-with icmp-host-prohibited
> 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20
> 0.0.0.0/0
> 0 0 REJECT all -- eth0:2 * 0.0.0.0/0
> 0.0.0.0/0 reject-with icmp-port-unreachable
>
> Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source
> destination
> 0 0 ACCEPT all -- eth0 * 172.16.0.0/20
> 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50
> 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx
> 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50
> 0 0 REJECT all -- * * 0.0.0.0/0
> 0.0.0.0/0 reject-with icmp-host-prohibited
>
> Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes)
> pkts bytes target prot opt in out source
> destination
>
>
>
>
> El 10/09/2013 06:04 p.m., Normando Hall escribió:
> > Muchas gracias. Probaremos entonces y te comento.
> >
> > Saludos
> >
> > El 10/09/2013 05:59 p.m., David González Romero escribió:
> >> En realidad eso lo pone el navegador
> >>
> >> Seria asi sin el enlace
> >>
> >> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
> >> iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
> >>
> >> Asi debería quedar...
> >>
> >> Saludos,
> >> David
> >>
> >>
> >> El 10 de septiembre de 2013 16:49, Normando Hall <nhall en unixlan.com.ar
> >escribió:
> >>
> >>> David una consulta.
> >>>
> >>> En la segunda reglas especificas el protocolo http:
> >>>
> >>> <http://172.16.0.0/8>
> >>>
> >>> Es correcto? Y debe ir asi encerrado entre los signos <>?
> >>>
> >>> Gracias
> >>>
> >>>
> >>> El 06/09/2013 11:38 a.m., David González Romero escribió:
> >>>
> >>>> Perdon me equivoque:
> >>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
> >>>> iptables -A INPUT -i eth0:2 -s 0 <http://172.16.0.0/8>/0 -p all -j
> >>> REJECT
> >>>> El 6 de septiembre de 2013 10:37, David González Romero <
> >>> dgrvedado en gmail.com
> >>>>> escribió:
> >>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
> >>>>>
> >>>>> Saludos,
> >>>>> David
> >>>>>
> >>>>>
> >>>>> El 6 de septiembre de 2013 04:18, Normando Hall <
> nhall en unixlan.com.ar
> >>>> escribió:
> >>>>> Hola amigos listeros.
> >>>>>> Tengo configurado en centos6 strongswan que está bindeado a eth0:2.
> >>>>>> Quiero que esta interfaz sólo atienda a la vpn ignorando todo
> tráfico
> >>>>>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
> >>> interfaz
> >>>>>> es una ip pública 190.210.xxx.xxx
> >>>>>>
> >>>>>> Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx)
> >>>>>> debe ser ignorada por esta interfaz.
> >>>>>>
> >>>>>> Muchas gracias
> >>>>>>
> >>>>>> --
> >>>>>> Normando Hall
> >>>>>> Rosario - Argentina
> >>>>>> normandohall en gmail.com
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> CentOS-es mailing list
> >>>>>> CentOS-es en centos.org
> >>>>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>>>
> >>>> _______________________________________________
> >>>> CentOS-es mailing list
> >>>> CentOS-es en centos.org
> >>>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>>
> >>> --
> >>> Normando Hall
> >>> Rosario - Argentina
> >>> normandohall en gmail.com
> >>>
> >>> _______________________________________________
> >>> CentOS-es mailing list
> >>> CentOS-es en centos.org
> >>> http://lists.centos.org/mailman/listinfo/centos-es
> >>>
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
>
> --
> Normando Hall
> Rosario - Argentina
> normandohall en gmail.com
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es