[CentOS-es] Bloquear acceso externo en una interfaz y dejar solo la vpn

Normando Hall nhall en unixlan.com.ar
Lun Sep 30 13:29:28 UTC 2013 

Hola David.

El tema es asi. Tengo una interfaz real eth0 con una IP externa. Luego
tengo 2 interfaces virtuales mas, eth0:1 y eth0:2, ambas tambien con
otras IP externas.
Además, tengo funcionando una VPN sobre eth0:2 (strongswan) con el
siguiente esquema site to site:

172.16.x (eth0:2) --- eth0 --- internet

Ambas eth0 y eth0:2 tiene una IP publica y ven internet. La diferencia
es que yo cree una VPN sobre eth0:2 que me crea ip virtuales 172.16.x y
que utiliza como GW eth0 para conectarme al vpn de cisco del otro lado.

No se si fui claro, es algo medio confuso creo. El tema es que no deseo
que en eth0:2 ingresen paquetes directamente desde internet, sino sólo
los que tengan de origen los de la vpn (172.16.xx). El esquema es este:

http://www.strongswan.org/uml/testresults/ikev2/net2net-psk/

Mi servidor sería "moon" y en el dibujo la eth1 sería mi eth0:2 que
tambíén tiene una IP pública.

Saludos
Normando


El 30/09/2013 08:45 a.m., David González Romero escribió:
> Ahora una pregunta 172.x es un interfase virtual de 192.x??
>
> En todo caso debería funcionar lo siguiente
>
> iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT
> iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT
> iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT
>
> Al final todo va a entrar por eth0, ya que eth0:1 seria solo una
> vitualización y no hay impedimento de ruteo entre ambas interfaces, ya que
> por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o por
> iptables
>
> Saludos,
> David
>
>
>
> El 29 de septiembre de 2013 02:47, Normando Hall <nhall en unixlan.com.ar>escribió:
>
>> Lamentablemente no funciona ya que puedo seguir pingueando desde una IP
>> externa NO comprendida dentro de 172.xxx....
>>
>> Esta es la configuración que tengo en iptables con las reglas que me has
>> pasado.
>>
>> iptables -nvL
>> Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
>>  pkts bytes target     prot opt in     out     source
>> destination
>>   60M   29G ACCEPT     all  --  *      *       0.0.0.0/0
>> 0.0.0.0/0           state RELATED,ESTABLISHED
>>   120  5569 ACCEPT     icmp --  *      *       0.0.0.0/0
>> 0.0.0.0/0
>>  3307  198K ACCEPT     all  --  lo     *       0.0.0.0/0
>> 0.0.0.0/0
>>     0     0 ACCEPT     ah   --  *      *       0.0.0.0/0
>> 0.0.0.0/0
>>     3   336 ACCEPT     esp  --  *      *       0.0.0.0/0
>> 0.0.0.0/0
>>  4095  190K REJECT     all  --  *      *       0.0.0.0/0
>> 0.0.0.0/0           reject-with icmp-host-prohibited
>>     0     0 ACCEPT     all  --  eth0:2 *       172.16.0.0/20
>> 0.0.0.0/0
>>     0     0 REJECT     all  --  eth0:2 *       0.0.0.0/0
>> 0.0.0.0/0           reject-with icmp-port-unreachable
>>
>> Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
>>  pkts bytes target     prot opt in     out     source
>> destination
>>     0     0 ACCEPT     all  --  eth0   *       172.16.0.0/20
>>  190.xxx.xxx.xx      policy match dir in pol ipsec reqid 3 proto 50
>>     0     0 ACCEPT     all  --  *      eth0    190.xxx.xxx.xx
>> 172.16.0.0/20       policy match dir out pol ipsec reqid 3 proto 50
>>     0     0 REJECT     all  --  *      *       0.0.0.0/0
>> 0.0.0.0/0           reject-with icmp-host-prohibited
>>
>> Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes)
>>  pkts bytes target     prot opt in     out     source
>> destination
>>
>>
>>
>>
>> El 10/09/2013 06:04 p.m., Normando Hall escribió:
>>> Muchas gracias. Probaremos entonces y te comento.
>>>
>>> Saludos
>>>
>>> El 10/09/2013 05:59 p.m., David González Romero escribió:
>>>> En realidad eso lo pone el navegador
>>>>
>>>> Seria asi sin el enlace
>>>>
>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
>>>> iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT
>>>>
>>>> Asi debería quedar...
>>>>
>>>> Saludos,
>>>> David
>>>>
>>>>
>>>> El 10 de septiembre de 2013 16:49, Normando Hall <nhall en unixlan.com.ar
>>> escribió:
>>>>> David una consulta.
>>>>>
>>>>> En la segunda reglas especificas el protocolo http:
>>>>>
>>>>> <http://172.16.0.0/8>
>>>>>
>>>>> Es correcto? Y debe ir asi encerrado entre los signos <>?
>>>>>
>>>>> Gracias
>>>>>
>>>>>
>>>>> El 06/09/2013 11:38 a.m., David González Romero escribió:
>>>>>
>>>>>> Perdon me equivoque:
>>>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT
>>>>>> iptables -A INPUT -i eth0:2 -s 0 <http://172.16.0.0/8>/0 -p all -j
>>>>> REJECT
>>>>>> El 6 de septiembre de 2013 10:37, David González Romero <
>>>>> dgrvedado en gmail.com
>>>>>>> escribió:
>>>>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT
>>>>>>>
>>>>>>> Saludos,
>>>>>>> David
>>>>>>>
>>>>>>>
>>>>>>> El 6 de septiembre de 2013 04:18, Normando Hall <
>> nhall en unixlan.com.ar
>>>>>> escribió:
>>>>>>> Hola amigos listeros.
>>>>>>>> Tengo configurado en centos6 strongswan que está bindeado a eth0:2.
>>>>>>>> Quiero que esta interfaz sólo atienda a la vpn ignorando todo
>> tráfico
>>>>>>>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la
>>>>> interfaz
>>>>>>>> es una ip pública 190.210.xxx.xxx
>>>>>>>>
>>>>>>>> Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx)
>>>>>>>> debe ser ignorada por esta interfaz.
>>>>>>>>
>>>>>>>> Muchas gracias
>>>>>>>>
>>>>>>>> --
>>>>>>>> Normando Hall
>>>>>>>> Rosario - Argentina
>>>>>>>> normandohall en gmail.com
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-es mailing list
>>>>>>>> CentOS-es en centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>> --
>>>>> Normando Hall
>>>>> Rosario - Argentina
>>>>> normandohall en gmail.com
>>>>>
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>> --
>> Normando Hall
>> Rosario - Argentina
>> normandohall en gmail.com
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

-- 
Normando Hall
Rosario - Argentina
normandohall en gmail.com

Más información sobre la lista de distribución CentOS-es