[CentOS-es] Firewall en VPN
César Martinez
cmartinez en servicomecuador.com
Lun Oct 27 21:48:40 UTC 2014
Gracias Francesc si el firewall esta solo en la oficina A, como comente
bajo mi firewall y al conexión se efectua te paso al salida del comando
iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 127.0.0.0/8 reject-with
icmp-port-unreachable
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
ACCEPT 41 -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 192.168.0.0/24 0.0.0.0/0 reject-with
icmp-port-unreachable
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
limit: avg 1/sec burst 5
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
reject-with icmp-port-unreachable
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1976
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:11200
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:1433 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: MSSQL '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1433
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:6670 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Deepthrt '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6670
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:6711 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Sub7 '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6711
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:6712 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Sub7 '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6712
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:6713 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Sub7 '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6713
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:12345 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Netbus '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12345
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:12346 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Netbus '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:12346
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:20034 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: Netbus '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20034
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:31337 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: BO '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:31337
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:6000 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix
`Firewalled packet: XWin '
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6000
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp
dpts:33434:33523
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
reject-with icmp-port-unreachable
REJECT 2 -- 0.0.0.0/0 0.0.0.0/0 reject-with
icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
reject-with icmp-port-unreachable
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix
`Firewalled packet:'
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "accounts.google.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "hi5.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "yahoo.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "spotify.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "imo.im" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "twitter.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "facebook" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "facebook.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "login.live.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "outlook" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "live.com" ALGO name bm TO 65535
FACEBOOK1 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "hotmail.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "accounts.google.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "hi5.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "yahoo.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "gmail.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "spotify.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "imo.im" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "twitter.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "youtube" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "facebook" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "facebook.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "login.live.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "outlook" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "outlook.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "live.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
STRING match "hotmail.com" ALGO name bm TO 65535
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
FACEBOOK tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
destination IP range 0.0.0.0-0.0.0.0
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpt:55347 reject-with icmp-port-unreachable
ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24 tcp dpt:3389
ACCEPT all -- 0.0.0.0/0 192.168.1.0/24
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:137
reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:138
reject-with icmp-port-unreachable
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138
reject-with icmp-port-unreachable
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:139
reject-with icmp-port-unreachable
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 192.168.0.3 tcp dpt:3389
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x17/0x02 limit: avg 5/min burst 5 LOG flags 0 level 4 prefix
`Firewalled packet:'
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.1.0/24
ACCEPT tcp -- 0.0.0.0/0 192.168.1.0/24
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FACEBOOK (31 references)
target prot opt source destination
ACCEPT all -- 192.168.0.10 0.0.0.0/0
ACCEPT all -- 192.168.0.103 0.0.0.0/0
ACCEPT all -- 192.168.0.122 0.0.0.0/0
ACCEPT all -- 192.168.0.140 0.0.0.0/0
ACCEPT all -- 192.168.0.142 0.0.0.0/0
ACCEPT all -- 192.168.0.154 0.0.0.0/0
ACCEPT all -- 192.168.0.170 0.0.0.0/0
ACCEPT all -- 192.168.0.28 0.0.0.0/0
ACCEPT all -- 192.168.0.3 0.0.0.0/0
ACCEPT all -- 192.168.0.30 0.0.0.0/0
ACCEPT all -- 192.168.0.52 0.0.0.0/0
ACCEPT all -- 192.168.0.61 0.0.0.0/0
ACCEPT all -- 192.168.0.63 0.0.0.0/0
ACCEPT all -- 192.168.0.64 0.0.0.0/0
ACCEPT all -- 192.168.0.67 0.0.0.0/0
ACCEPT all -- 192.168.0.69 0.0.0.0/0
ACCEPT all -- 192.168.0.7 0.0.0.0/0
ACCEPT all -- 192.168.0.8 0.0.0.0/0
ACCEPT all -- 192.168.0.83 0.0.0.0/0
ACCEPT all -- 192.168.1.0 0.0.0.0/0
ACCEPT all -- 192.168.1.150 0.0.0.0/0
ACCEPT all -- 192.168.1.7 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FACEBOOK1 (20 references)
target prot opt source destination
ACCEPT all -- 192.168.0.10 0.0.0.0/0
ACCEPT all -- 192.168.0.103 0.0.0.0/0
ACCEPT all -- 192.168.0.122 0.0.0.0/0
ACCEPT all -- 192.168.0.140 0.0.0.0/0
ACCEPT all -- 192.168.0.142 0.0.0.0/0
ACCEPT all -- 192.168.0.154 0.0.0.0/0
ACCEPT all -- 192.168.0.170 0.0.0.0/0
ACCEPT all -- 192.168.0.28 0.0.0.0/0
ACCEPT all -- 192.168.0.3 0.0.0.0/0
ACCEPT all -- 192.168.0.30 0.0.0.0/0
ACCEPT all -- 192.168.0.52 0.0.0.0/0
ACCEPT all -- 192.168.0.61 0.0.0.0/0
ACCEPT all -- 192.168.0.63 0.0.0.0/0
ACCEPT all -- 192.168.0.64 0.0.0.0/0
ACCEPT all -- 192.168.0.67 0.0.0.0/0
ACCEPT all -- 192.168.0.69 0.0.0.0/0
ACCEPT all -- 192.168.0.7 0.0.0.0/0
ACCEPT all -- 192.168.0.8 0.0.0.0/0
ACCEPT all -- 192.168.0.83 0.0.0.0/0
ACCEPT all -- 192.168.1.0 0.0.0.0/0
ACCEPT all -- 192.168.1.150 0.0.0.0/0
ACCEPT all -- 192.168.1.7 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
--
Saludos Cordiales
|César Martínez | Ingeniero de Sistemas | SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular: 0999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y Cuero y Caicedo
|Quito - Ecuador - Sudamérica
On 27/10/14 16:45, Francesc Guitart wrote:
> Hola César,
>
> Para poder ver qué otras reglas hay en el firewall, pero sobretodo, en
> qué orden envía la salida del comando iptables -L -n
>
> Entiendo que las reglas que pones están en un firewall en la oficina A
> ¿No hay firewall en la oficina B?
>
> El 27/10/14 a las 22:21, César Martinez escribió:
>> Saludos amigos acudo a ustedes haber quien me puede echar una mano,
>> tengo un servidor Linux centos 5.11 el cuál hace proxy y firewall,
>> existe una VPN que tiene montada el proveedor de internet con dos
>> routers entre dos ciudades, le pedí al proveedor que todo el tráfico que
>> genera el tunel se envie a mi servidor de tal forma que yo controlo
>> todos los accesos del tunel de los usuarios, el segmento que maneja la
>> red en al oficina A es 192.168.0.X y en la oficina B es 192.168.1.X,
>> necesito que desde la oficina en la red 192.168.1.X pueda abrir el
>> escritorio remoto de un servidor con windows via terminal server por el
>> puerto 3389, para ello he creado estas reglas
>>
>> $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -j ACCEPT
>> $IPTABLES -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
>> $IPTABLES -A OUTPUT -p tcp -d 192.168.1.0/24 -j ACCEPT
>> $IPTABLES -I FORWARD -d 192.168.1.0/24 -i $INTERNALIF -p tcp --dport
>> 3389 -j ACCEPT
>>
>> Además abrí el puerto 3389 así $IPTABLES -A INPUT -p tcp --dport 3389 -j
>> ACCEPT
>>
>> No logro hacer que desde la red local del otro segmento se abra la
>> terminal tengo ping desde el segmento 192.168.1 .X al 192.168.0.X para
>> probar si es mi firewall le bajo momentaneamente y sin problemas se abre
>> el terminal desde la red B hacia la A
>>
>> Agradezco a las personas que me puedan guiar que me hace falta para que
>> puedan usar el terminal sin problemas
>>
>
>
>
Más información sobre la lista de distribución CentOS-es