Forums:
Que tal amigos, bueno aca de nuevo se que se ha tocado este tema antes pero he probado varias formas y en ninguna logro que puedan funcionar.
Les detallo un poco mi estructura; consta de un proxy squid en debian lenny, dicha pc posee 3 tarjetas de red, de las cuales se separan 2 LAns distintas. teniendo como salida el proxy squid.
Bueno tengo el problema que cuento con un servidor asterisk dentro de una de mis lans y quiero desde fuera poder comunicarme desde un softphone remoto, el problema es q no logro que se registre. Mi manejo del Iptables es recontra limitado ya que estoy estudiandolo aun. Espero puedan apoyarme con esto y les doy las gracias por darse el tiempo de revisar el codigo amigos.. saludos. Les paso a dejar mi conf de iptables, esta conf la saque de uno ya realizado por Guimi.
#!/bin/bash
#
# Por Guimi 2006/02 - http://www.guimi.net
#
# Para guardar las reglas
#+ iptables-save > reglas
#+ iptables-restore < reglas
#
# Miramos si tenemos un parametro en linea de comando
if [ -n "$1" ] && [ "$1" = "q" ]
then
QUIET="1"
else
QUIET="0"
fi
# Registramos el inicio del firewall
FECHA=$(date +"%C%y-%m-%d %H:%M")
echo " Iniciando el Cortafuegos el: $FECHA"
#/usr/bin/logger -p kern.notice -t NETFILTER \
# "====== Iniciado Cortafuegos: $FECHA ========="
if [ $QUIET = "0" ]; then
echo " Realizado por Guimi (http://www.guimi.net)"
echo " ------------------------------------------"
fi
# PARAMETRIZACION DEL SCRIPT
##########################################
### Definimos constantes para usar en el
###+ script
if [ $QUIET = "0" ]; then
echo " Cargando parametros..."
fi
# Binario de iptables
IPTABLES=/sbin/iptables
# INTERFACES
# eth0 - conectado a internet con IP FIJA
EXT_IF=eth0
EXT_IP=192.168.60.6
# eth1 - conectado a LAN
LAN_IF=eth1
LAN_IP=192.168.90.1
LAN_RED=192.168.90.0/24
# eth2 - conectado a LAN2
LAN2_IF=eth2
LAN2_IP=192.168.70.1
LAN2_RED=192.168.70.0/24
# lo - interfaz de loopback
LOO_RED=127.0.0.0/8
# cualquier red
ANY_RED=0.0.0.0/0
# MAQUINAS INTERNAS
IP_SERVIDOR_AST=192.168.70.130
if [ $QUIET = "0" ]; then
echo " Cargando modulos..."
fi
##########################################
### Nos aseguramos que tenemos cargados
###+ los modulos necesarios
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_nat_ftp
if [ $QUIET = "0" ]; then
echo " Limpiando FW..."
fi
##########################################
### Limpiamos la configuracion existente
# Limpiamos (flush) las reglas
$IPTABLES -F
# Borramos 'cadenas' de usuario
$IPTABLES -X
# Ponemos a cero paquetes y contadores
$IPTABLES -Z
# Limpiamos las reglas de NAT
$IPTABLES -t nat -F
# Borramos 'cadenas' de usuario de NAT
$IPTABLES -t nat -X
if [ $QUIET = "0" ]; then
echo " Estableciendo politicas..."
fi
##########################################
### Establecemos las politicas por omision
###+ de las 'cadenas'
# Por omision descartamos los paquetes
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
# POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
$IPTABLES -t nat -P PREROUTING DROP
$IPTABLES -t nat -P POSTROUTING DROP
# Relajamos la politica de salida
#+ Dejamos salir paquetes de LAN_IP por LAN_IF
$IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN2_IF -s $LAN2_IP -j ACCEPT
#+ Dejamos salir paquetes de EXT_IP por EXT_IF
$IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> Denegacion de redes invalidas..."
fi
##########################################
# No admitimos desde el exterior redes locales (RFC 1918)
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP
# Desde el interior solo admitimos nuestra red LAN
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED -j DROP
$IPTABLES -t nat -A PREROUTING -i $LAN2_IF -s ! $LAN2_RED -j DROP
if [ $QUIET = "0" ]; then
echo " -> Denegacion de broadcast de NetBIOS..."
fi
##########################################
# Bloquear paquetes broadcast de NetBios salientes
iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o $EXT_IF -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o $EXT_IF -j DROP
if [ $QUIET = "0" ]; then
echo " Activando NAT..."
fi
##########################################
# Activamos el bit de forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# Enmascaramos la salida de la LAN y LAN2
$IPTABLES -t nat -A POSTROUTING -s $LAN_RED -o $EXT_IF -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $LAN2_RED -o $EXT_IF -j MASQUERADE
if [ $QUIET = "0" ]; then
echo " Accesos a la maquina local permitidos..."
fi
##########################################
### Permitimos ciertos accesos a la maquina
if [ $QUIET = "0" ]; then
echo " -> loopback..."
fi
# Permitimos todas las conexiones del interfaz loopback
#$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -s $LOO_RED -d $LOO_RED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -s $LOO_RED -d $LOO_RED -j ACCEPT
# Permitimos el PostEnrutado de paquetes enviados localmente
$IPTABLES -t nat -A POSTROUTING -o lo -s $LOO_RED -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> LAN..."
fi
# Damos acceso desde la red local
$IPTABLES -A INPUT -s $LAN_RED -i $LAN_IF -j ACCEPT
$IPTABLES -A OUTPUT -d $LAN_RED -o $LAN_IF -j ACCEPT
$IPTABLES -A INPUT -s $LAN2_RED -i $LAN2_IF -j ACCEPT
$IPTABLES -A OUTPUT -d $LAN2_RED -o $LAN2_IF -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> DNS..."
fi
# Aceptamos conexiones DNS
$IPTABLES -A INPUT -s $ANY_RED -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
$IPTABLES -A OUTPUT -d $ANY_RED -o $EXT_IF -p udp -m udp --dport 53 --sport 1024:65535 -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> ntpd..."
fi
# Aceptamos conexiones ntpd
$IPTABLES -A INPUT -p udp -m udp --dport 123 -i $EXT_IF -s $ANY_RED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp --sport 123 -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> icmp..."
fi
# Permitimos paquetes ICMP (ping, traceroute...)
#+ con limites para evitar ataques de DoS
# Aceptamos ping y pong
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
# Aceptamos redirecciones
$IPTABLES -A INPUT -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT
# Aceptamos tiempo excedido
$IPTABLES -A INPUT -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT
# Aceptamos destino inalcanzable
$IPTABLES -A INPUT -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> ssh Proxy..."
fi
# Abrimos el puerto 2222 para ssh
#$IPTABLES -A INPUT -p tcp -i $EXT_IF -s $ANY_RED -m tcp --dport 2222 --sport 1024:65535 -j ACCEPT
#$IPTABLES -A INPUT -p tcp -s $ANY_RED -m tcp --dport 2222 --sport 1024:65535 -m state --state NEW -j LOG --log-prefix "[FW - SSH] "
#$IPTABLES -A INPUT -p tcp -s $ANY_RED -m tcp --dport 2222 --sport 1024:65535 -j ACCEPT
#RESTRINGIENDO EL ACCESO A SSH
$IPTABLES -A INPUT -p tcp -s $LAN_RED -m tcp --dport 2222 --sport 1024:65535 -m state --state NEW -j LOG --log-prefix "[FW - SSH] "
$IPTABLES -A INPUT -p tcp -s $LAN_RED -m tcp --dport 2222 --sport 1024:65535 -j ACCEPT
#
#$IPTABLES -A INPUT -p tcp -s $LAN2_RED -m tcp --dport 2222 --sport 1024:65535 -m state --state NEW -j LOG --log-prefix "[FW - SSH] "
#$IPTABLES -A INPUT -p tcp -s $LAN2_RED -m tcp --dport 2222 --sport 1024:65535 -j ACCEPT
#
# ...y conexiones ssh salientes relacionadas
$IPTABLES -A OUTPUT -p tcp -m tcp --sport 2222 -m state --state RELATED,ESTABLISHED -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> abre puertos ast..."
fi
#Abrimos el puerto 5060 para AST
$IPTABLES -A INPUT -p udp -s $ANY_RED -m udp --dport 5060 -m state --state NEW -j LOG --log-prefix "[FW - AST] "
$IPTABLES -A INPUT -p udp -s $ANY_RED -m udp --dport 5060 -j ACCEPT
#$IPTABLES -A INPUT -p udp -s $ANY_RED -m tcp --dport 1000:2000 -m state --state NEW -j LOG --log-prefix "[FW - AST] "
#$IPTABLES -A INPUT -p udp -s $ANY_RED -m tcp --dport 1000:2000 -j ACCEPT
# ...y conexiones ssh salientes relacionadas AST
$IPTABLES -A OUTPUT -p tcp -m tcp --sport 5060 -m state --state RELATED,ESTABLISHED -j ACCEPT
if [ $QUIET = "0" ]; then
echo " Redirecciones..."
fi
##########################################
### Generamos redireccionamientos
###+ transparentes para el resto de maquinas
if [ $QUIET = "0" ]; then
echo " -> Proxy web transparente (Squid)..."
fi
#+ Con la redireccion activa (primera linea)
#+ no se llega a la segunda linea
#+ Para bloquear todo acceso a la web comentar
#+ solo la primera linea
#+ Para anular el proxy comentar las dos reglas
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -s $LAN_RED -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A FORWARD -i $LAN_IF -p tcp --dport 80 -j DROP
$IPTABLES -t nat -A PREROUTING -i $LAN2_IF -s $LAN2_RED -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A FORWARD -i $LAN2_IF -p tcp --dport 80 -j DROP
if [ $QUIET = "0" ]; then
echo " -> Filtro de correo (P3Scan)..."
fi
#+ Con la redireccion activa (primera linea)
#+ no se llega a la segunda linea
#+ Para bloquear todo acceso a POP comentar
#+ solo la primera linea
#+ Para anular el filtrado comentar las dos reglas
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -s $LAN_RED -p tcp --dport 110 -j REDIRECT --to-port 8110
$IPTABLES -A FORWARD -i $LAN_IF -p tcp --dport 110 -j DROP
###$IPTABLES -t nat -A OUTPUT -p tcp --dport 110 -m owner --owner-id p3scan -j ACCEPT
###$IPTABLES -t nat -A OUTPUT -p tcp --dport 110 -j REDIRECT --to-port 8110
if [ $QUIET = "0" ]; then
echo " -> DNAT (FW a AST:22)..."
fi
# Redirigimos trafico de entrada al puerto 22 a una pc de nuestra lan - COMENTAR REGLAS PARA BLOQUEAR ACCESO
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -d $EXT_IP -p tcp --dport 22 -j LOG --log-prefix "[FW - AST] "
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -d $EXT_IP -p tcp --dport 22 -j DNAT --to "$IP_SERVIDOR_AST":22
# Permitimos postruteos a "$IP_SERVIDOR_AST":22
$IPTABLES -t nat -A POSTROUTING -o $LAN_IF -d $IP_SERVIDOR_AST -p tcp --dport 22 -j ACCEPT
# Permitimos reenvios desde el exterior a "$IP_SERVIDOR_AST":22
$IPTABLES -A FORWARD -i $EXT_IF -d $IP_SERVIDOR_AST -p tcp --dport 22 -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> DNAT (FW a AST:5060)..."
fi
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -p udp --dport 5060 -j DNAT --to "$IP_SERVIDOR_AST":5060
if [ $QUIET = "0" ]; then
echo " Reenvios..."
fi
##########################################
### Aceptamos algunos reenvios
if [ $QUIET = "0" ]; then
echo " -> icmp..."
fi
# Permitimos paquetes ICMP (ping, traceroute...)
#+ con limites para evitar ataques de DoS
# Aceptamos ping y pong
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
# Aceptamos redirecciones
$IPTABLES -A FORWARD -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT
# Aceptamos tiempo excedido
$IPTABLES -A FORWARD -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT
# Aceptamos destino inalcanzable
$IPTABLES -A FORWARD -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT
# Aceptamos todas en LAN_IF
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -p icmp --icmp-type any -m limit --limit 2/s -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $LAN_IF -p icmp --icmp-type any -m limit --limit 2/s -j ACCEPT
if [ $QUIET = "0" ]; then
echo " Salida general..."
fi
##########################################
### Aceptamos conexiones salientes
# Permitimos cualquier salida tcp desde la propia maquina
$IPTABLES -A OUTPUT -o $EXT_IF -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# ...y conexiones entrantes relacionadas
$IPTABLES -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitimos el reenvio de paquetes enviados desde la LAN
$IPTABLES -A FORWARD -i $LAN_IF -j ACCEPT
$IPTABLES -A FORWARD -i $LAN2_IF -j ACCEPT
# ...y conexiones salientes relacionadas
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitimos el NAT de paquetes enviados desde la LAN
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN2_IF -j ACCEPT
# ...y conexiones salientes relacionadas
$IPTABLES -t nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitimos el NAT de paquetes enviados desde inet hacia la IP publica
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -d $EXT_IP -j ACCEPT
# ...y conexiones salientes relacionadas
$IPTABLES -t nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitimos el NAT de paquetes enviados desde la IP publica hacia inet
$IPTABLES -t nat -A POSTROUTING -o $EXT_IF -s $EXT_IP -j ACCEPT
# ...y conexiones salientes relacionadas
$IPTABLES -t nat -A POSTROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitimos el PostEnrutado de paquetes enviados localmente
$IPTABLES -t nat -A POSTROUTING -o $LAN_IF -s $LAN_RED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $LAN2_IF -s $LAN2_RED -j ACCEPT
if [ $QUIET = "0" ]; then
echo " Cerrando puertos restringidos..."
fi
##########################################
### Puertos restringidos (telnet, ftp, imap, pop3, etc.)
###+ Reiterativo: para pruebas
$IPTABLES -A INPUT -p tcp --dport 1:1024 -j DROP
$IPTABLES -A INPUT -p udp --dport 1:1024 -j DROP
###echo " ACTIVADO DEBUG..."
##########################################
### Reglas utilizadas en debug para detectar
#+ paquetes no tratados todavia
#+ -j LOG --log-prefix "--PR> "
$IPTABLES -t nat -A PREROUTING -j LOG --log-prefix "[FW - PR] "
$IPTABLES -t nat -A POSTROUTING -j LOG --log-prefix "[FW - PO] "
#$IPTABLES -A FORWARD -j LOG --log-prefix "[FW - FW] "
$IPTABLES -A INPUT -j LOG --log-prefix "[FW - IN] "
$IPTABLES -A OUTPUT -j LOG --log-prefix "[FW - OU] "
if [ $QUIET = "0" ]; then
echo " Configuracion FW terminada."
echo ""
echo " A continuacion podria desear:"
echo " - verificar reglas: iptables -nvL && iptables -nvL -t nat"
echo " - guardar reglas: iptables-save > reglas"
echo " - restaurar reglas: iptables-restore < reglas"
fi
##########################################
exit 0
por lo que veo no estas
por lo que veo no estas redirigiendo el trafico sip hacia el asterisk (FORWARD y PREROUTING) y tambien te falta redirigir el protocolo RTP que es el que maneja el audio...
suponiendo que el asterisk este en por ej 192.168.90.100 y quieras registrarte desde la WAN con un softphone SIP tendrias que agregar algo asi:
SIP=5060
RTP=10000:20000
ASTERISK=192.168.90.100
$IPTABLES -A FORWARD -p udp --dport $SIP -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport $RTP -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p udp --dport $SIP -j DNAT --to $ASTERISK
$IPTABLES -A PREROUTING -t nat -p udp --dport $RTP -j DNAT --to $ASTERISK
espero que te sirva
saludos
Humm ok, amigo acabo acabo
Humm ok, amigo acabo acabo de modificarlo, pero dime tengo abrir esos puertos tambien con IMPUT no es asi??..
nada aun nada.. sigue sin
nada aun nada.. sigue sin registrar...
he echo lo siguiente a ver si me orientas..
# MAQUINAS INTERNAS
ASTERISK=192.168.70.130
SIP=5060
RTP=10000:20000
$IPTABLES -A INPUT -p udp -s $LAN2_RED -m udp --dport $SIP -m state --state NEW -j LOG --log-prefix "[FW - SSH] "
$IPTABLES -A INPUT -p udp -s $LAN2_RED -m udp --dport $SIP -j ACCEPT
$IPTABLES -A INPUT -p udp -s $LAN2_RED -m udp --dport $RTP -m state --state NEW -j LOG --log-prefix "[FW - SSH] "
$IPTABLES -A INPUT -p udp -s $LAN2_RED -m udp --dport $RTP -j ACCEPT
if [ $QUIET = "0" ]; then
echo " -> DNAT (FW a ASTERISK)..."
fi
$IPTABLES -A FORWARD -p udp --dport $SIP -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport $RTP -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p udp --dport $SIP -j DNAT --to $ASTERISK
$IPTABLES -A PREROUTING -t nat -p udp --dport $RTP -j DNAT --to $ASTERISK
la cadena INPUT no es
la cadena INPUT no es necesaria ya que los paquetes estan destinados (forward) a otro equipo de la red, de todas maneras con esa configuracion tendria que funcionar...
-el asterisk sobre que SO esta montado (Debian, Fedora, Centos, ...)?
-seria de utilidad un dump de las reglas del iptables (#iptables -vnL y #iptables -t nat -vnL)
saludos
Sabes lo q me cabo de dar
Sabes lo q me cabo de dar cuenta.. es que el asterisk esta en el mismo segmento de red osea esta dentro de mi red 192.168.90.1, y que la 192.168.70.1 no la tengo ni siquiera conectada.. hum q burro como se me fue eso.. hoy hago otra prueba y escribo si funciono amigo gracias..
Aun no funcionaa.
Nada amigos, aun no logro que se registre.. a ver te pongo lo que me sale con el comando:
iptables -nvL -t nat
iptables -nvL -t nat
Chain PREROUTING (policy DROP 1 packets, 48 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP 0 -- eth0 * 192.168.0.0/16 0.0.0.0/0
0 0 DROP 0 -- eth0 * 10.0.0.0/8 0.0.0.0/0
0 0 DROP 0 -- eth0 * 172.16.0.0/12 0.0.0.0/0
0 0 DROP 0 -- eth0 * 224.0.0.0/4 0.0.0.0/0
0 0 DROP 0 -- eth0 * 240.0.0.0/5 0.0.0.0/0
0 0 DROP 0 -- eth0 * 127.0.0.0/8 0.0.0.0/0
0 0 DROP 0 -- eth0 * 0.0.0.0/8 0.0.0.0/0
0 0 DROP 0 -- eth0 * 169.254.0.0/16 0.0.0.0/0
0 0 DROP 0 -- eth0 * 255.255.255.255 0.0.0.0/0
0 0 DROP 0 -- eth0 * 192.168.1.6 0.0.0.0/0
0 0 DROP 0 -- eth1 * !192.168.10.0/24 0.0.0.0/0
1154 55392 REDIRECT tcp -- eth1 * 192.168.10.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- eth1 * 192.168.10.0/24 0.0.0.0/0 tcp dpt:110 redir ports 8110
642 38520 LOG tcp -- eth0 * 0.0.0.0/0 192.168.1.6 tcp dpt:22 LOG flags 0 level 4 prefix `[FW - AST] '
642 38520 DNAT tcp -- eth0 * 0.0.0.0/0 192.168.1.6 tcp dpt:22 to:192.168.10.130:22
33 18579 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 to:192.168.10.130
6 312 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000 to:192.168.10.130
0 0 ACCEPT icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0 icmp type 255 limit: avg 2/sec burst 5
941 76275 ACCEPT 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
450 32488 ACCEPT 0 -- eth0 * 0.0.0.0/0 192.168.1.6
0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[FW - PR] '
Chain POSTROUTING (policy DROP 33 packets, 18579 bytes)
pkts bytes target prot opt in out source destination
763 38912 MASQUERADE 0 -- * eth0 192.168.10.0/24 0.0.0.0/0
0 0 ACCEPT 0 -- * lo 127.0.0.0/8 0.0.0.0/0
642 38520 ACCEPT tcp -- * eth1 0.0.0.0/0 192.168.10.130 tcp dpt:22
0 0 ACCEPT icmp -- * eth1 0.0.0.0/0 0.0.0.0/0 icmp type 255 limit: avg 2/sec burst 5
1562 93754 ACCEPT 0 -- * eth0 192.168.1.6 0.0.0.0/0
0 0 ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6 312 ACCEPT 0 -- * eth1 192.168.10.0/24 0.0.0.0/0
33 18579 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[FW - PO] '
Chain OUTPUT (policy ACCEPT 105K packets, 6288K bytes)
pkts bytes target prot opt in out source destination
y lo que me sale con iptables -nvL
iptables -nvL
Chain INPUT (policy DROP 433 packets, 31432 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- lo * 127.0.0.0/8 127.0.0.0/8
23588 3866K ACCEPT 0 -- eth1 * 192.168.10.0/24 0.0.0.0/0
466 129K ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
2 128 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 limit: avg 2/sec burst 5
12 1056 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 limit: avg 2/sec burst 5
0 0 LOG tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp spts:1024:65535 dpt:2222 state NEW LOG flags 0 level 4 prefix `[FW - SSH] '
0 0 ACCEPT tcp -- * * 192.168.10.0/24 0.0.0.0/0 tcp spts:1024:65535 dpt:2222
30211 31M ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
33 1752 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:1024
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:1:1024
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spts:137:139
2 156 DROP udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spts:137:139
0 0 DROP tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 DROP tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
8405 806K ACCEPT tcp -- eth0 * 0.0.0.0/0 192.168.10.130 tcp dpt:22
44 24772 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
12 624 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 limit: avg 2/sec burst 5
279 20404 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 limit: avg 2/sec burst 5
48996 9052K ACCEPT 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
39233 19M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
36866 38M ACCEPT 0 -- * eth1 192.168.10.1 0.0.0.0/0
26307 3784K ACCEPT 0 -- * eth0 192.168.1.6 0.0.0.0/0
0 0 DROP tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spts:137:139
0 0 DROP udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spts:137:139
0 0 ACCEPT 0 -- * lo 127.0.0.0/8 127.0.0.0/8
0 0 ACCEPT 0 -- * eth1 0.0.0.0/0 192.168.10.0/24
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spts:1024:65535 dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 2/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 limit: avg 2/sec burst 5
60 4704 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 limit: avg 2/sec burst 5
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2222 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
Que opinas' en que estoy fallando?..