Iptables - Que estoy haciendo mal?

Forums:

Configuración de Servidores

Hola,

Intentando hacer una segmentación dinámica de mi red, en la que con las reglas que están abajo puedo navegar sin problemas, pero no puedo recibir correo que está en otro servidor y no me limita la velocidad.

Alguien me puede decir que está mal, si le falta algo o si es mejor hacer otra cosa.

#####INICIO

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

tc qdisc add dev eth1 root handle 1: htb default 30
tc class add dev eth1 parent 1: classid 1:1 htb rate 192kbps ceil 192kbps
tc class add dev eth1 parent 1:1 classid 1:10 htb rate 5kbps ceil 192kbps
tc class add dev eth1 parent 1:1 classid 1:20 htb rate 5kbps ceil 192kbps
tc class add dev eth1 parent 1:1 classid 1:30 htb rate 5kbps ceil 12kbps
tc class add dev eth1 parent 1:1 classid 1:40 htb rate 5kbps ceil 12kbps
tc class add dev eth1 parent 1:1 classid 1:50 htb rate 5kbps ceil 12kbps
tc class add dev eth1 parent 1:1 classid 1:60 htb rate 5kbps ceil 12kbps
tc class add dev eth1 parent 1:1 classid 1:70 htb rate 5kbps ceil 64kbps
tc class add dev eth1 parent 1:1 classid 1:80 htb rate 5kbps ceil 12kbps
#ojo que le puse 5kbps a mi maquina
tc class add dev eth1 parent 1:1 classid 1:90 htb rate 5kbps ceil 5kbps
tc class add dev eth1 parent 1:1 classid 1:100 htb rate 5kbps ceil 32kbps
tc class add dev eth1 parent 1:1 classid 1:110 htb rate 5kbps ceil 64kbps

#asociar a sfp
tc qdisc add dev eth1 parent 1:10 handle 10: sfq
tc qdisc add dev eth1 parent 1:20 handle 20: sfq
tc qdisc add dev eth1 parent 1:30 handle 30: sfq
tc qdisc add dev eth1 parent 1:40 handle 40: sfq
tc qdisc add dev eth1 parent 1:50 handle 50: sfq
tc qdisc add dev eth1 parent 1:60 handle 60: sfq
tc qdisc add dev eth1 parent 1:70 handle 70: sfq
tc qdisc add dev eth1 parent 1:80 handle 80: sfq
tc qdisc add dev eth1 parent 1:90 handle 90: sfq
tc qdisc add dev eth1 parent 1:100 handle 100: sfq
tc qdisc add dev eth1 parent 1:110 handle 110: sfq

#asociar las reglas con las IP
tc filter add dev eth1 protocol ip parent 1: handle 1 fw classid 1:10
tc filter add dev eth1 protocol ip parent 1: handle 2 fw classid 1:20
tc filter add dev eth1 protocol ip parent 1: handle 3 fw classid 1:30
tc filter add dev eth1 protocol ip parent 1: handle 4 fw classid 1:40
tc filter add dev eth1 protocol ip parent 1: handle 5 fw classid 1:50
tc filter add dev eth1 protocol ip parent 1: handle 6 fw classid 1:60
tc filter add dev eth1 protocol ip parent 1: handle 7 fw classid 1:70
tc filter add dev eth1 protocol ip parent 1: handle 8 fw classid 1:80
tc filter add dev eth1 protocol ip parent 1: handle 9 fw classid 1:90
tc filter add dev eth1 protocol ip parent 1: handle 10 fw classid 1:100
tc filter add dev eth1 protocol ip parent 1: handle 11 fw classid 1:110

#PERMITIR LA SALIDA SMTP, PUERTO 25 DEL CORREO
iptables -A INPUT -i eth1 -p tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 110 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 110 -j ACCEPT
#SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
#POP3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT

#REDICCCION AL PUERTO 3128 DE SQUID
iptables -t nat -A PREROUTING -i eth1 -s 192.168.71.0/24 -d ! 192.168.71.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Darles una marca a cada una de las IP que tienen acceso
iptables -A FORWARD -s 192.168.71.4 -t mangle -j MARK --set-mark 1
iptables -A FORWARD -s 192.168.71.6 -t mangle -j MARK --set-mark 2
iptables -A FORWARD -s 192.168.71.12 -t mangle -j MARK --set-mark 3
iptables -A FORWARD -s 192.168.71.14 -t mangle -j MARK --set-mark 4
iptables -A FORWARD -s 192.168.71.15 -t mangle -j MARK --set-mark 5
iptables -A FORWARD -s 192.168.71.17 -t mangle -j MARK --set-mark 6
iptables -A FORWARD -s 192.168.71.18 -t mangle -j MARK --set-mark 7
iptables -A FORWARD -s 192.168.71.19 -t mangle -j MARK --set-mark 8
iptables -A FORWARD -s 192.168.71.48 -t mangle -j MARK --set-mark 9
iptables -A FORWARD -s 192.168.71.50 -t mangle -j MARK --set-mark 10
iptables -A FORWARD -s 192.168.71.69 -t mangle -j MARK --set-mark 11
######FIN

Saludos.

Te recomiendo primero leer

Te recomiendo primero leer el manual de LARTC, segundo estas haciendo mal las cosas, y ponernos a depurar ese script es muy largo y tedioso, tercero en los comos existe dos alternativas para segmentar ancho de banda revisalos.

Keep The Fire Burning.....
Stryper 1988

Envia la configuracion de

Envia la configuracion de tus archivos htb-gen.conf y htb-gen-rates.conf para ver como lo estas haciendo (ojo solo la parte pertinente) o si no es muy largo revisar
Salu2

EcuaLUG

Iptables - Que estoy haciendo mal?

Forums:

Te recomiendo primero leer

Envia la configuracion de

Buscar

Encuesta

Temas activos

Ultimos Kernel

Quién está conectado

Usuarios nuevos

SchoolForge

Forums:

Inicio de sesión

Buscar

Encuesta

Ultimos Kernel

Quién está conectado

Usuarios nuevos

SchoolForge