Forums:
Hola.
Tengo un pequeño scrip firewall el cual funciona sin problemas hasta ahora que deseo aplicar las politicas Drop. Anteriormente el firewall estaba de la siguiente manera.
#interfaz eth0 lan
#interfaz eth1 wan
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#- aceptamos el trafico para LOCALHOST
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Enmascaramos las peticiones de la red lan
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o eth1 -j MASQUERADE
#Permitimos a otras maquinas salir a través del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
#Redireccionamos las peticiones web puerto 80 al 8080 dansguardian
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#----Abrir puertos para el envio y recepcion de correos externos
iptables -A FORWARD -s 192.168.1.1/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.1.1/24 -i eth1 -p tcp --dport 110 -j ACCEPT
#----Abrimos puertos para el ftp
iptables -A FORWARD -s 192.168.1.1/24 -i eth1 -p tcp --dport 21:20 -j ACCEPT
#----Abrimos puerto para el SSH
iptables -A FORWARD -s 192.168.1.1/24 -i eth1 -p tcp --dport 22 -j ACCEPT
echo "Reglas aplicadas
Y no se que pasó, pero no resulto, no quede con internet en los equipos de la lan ni el mismo server. ¿Que sera que hice mal?
Aún no puedo verificar si tengo bien las reglas en donde abro los puertos (22,25,110,20,21). Si encuentran que tengo algo mal, se los agredesco desde ya.
Saludos y gracias.
No figuran ni el 25, ni el
No figuran ni el 25, ni el 110 ni el 80 porque TU SERVER no tiene corriendo dichos servicios, si tuvieras sendmail, imap, y httpd corriendo, pues ahi si el nmap los mostraria, lo que tienes declarado en el firewall es que ACEPTE las peticiones hacia el Internet con DESTINO los puertos 25,110, etc, si tuvieras los servicios corriendo en TU server, ahi deberias aplicar las reglar respectivas de Entrada y Salida.
Insisto, se deben tener claras las reglas de iptables, tanto para que sirve cada cadena sea input, output, forward, etc y el orden en las cual se deben ejecutar, si no comprendes eso, estaras hecho bola siempre.
Saludos.
nmap envía paquetes de
nmap envía paquetes de inicio de conexión tcp al host al que indicas como argumento. Esos paquetes tienen como destino la máquina que corre iptables. Las reglas para los puertos 25 y 110 se aplican para los paquetes cuya dirección de destino es distinta a la del host que corre iptables y por tanto las reglas de FORWARD que pusiste no se aplican a esos paquetes, nmap no puede crear una conexión y por tanto no te muestra nada en ese puerto.
Lee cómo funciona nmap y cada una de las cadenas de iptables y a qué paquetes se aplican.
Gracias
Gracias a todos por las aclaraciones, seguire leyendo y practicando para ir cada día quedando más claro.
Muchas gracias!
____________________________________
Me gusta aprender, me gusta Linux !!
Páginas