IPTables NAT - Solo funciona el PING! Ayuda

santi79 · Forista Nuevo Miembro No. 28546 Registrado: Jun 27, 2008 Mensajes: 4

Hola, les comento a ver si a alguien le paso.
Tengo un Debian etch con salida a internet.
Simplemente quiero compartir esta conexion con otras dos PCs (Otro Debian y un WinXp) utilizando NAT

Tengo dos interfaces eth0 (red local, con IP 192.168.0.1) y eth1 (internet dhcp)

Las otras 2 maquinas tienen ip fija (192.168.0.2 y 192.168.0.3) con el gateway apuntando a 192.168.0.1

Bien, las Pcs entre si se ven sin dramas, la red local anda perfecta.
Desde las otras PCs *inclusive* puedo hacer PINGS sin problema.
Un ping a www.google.com funciona sin dramas.
Pero si quiero hacer otra cosa no funciona.

Por ejemplo, con la web, conecta con el sitio pero nunca recibe nada.
Esto pasa en las dos pcs clientes.

Les paso el iptables (el cual es super basico).
Probe actualizando el kernel a 2.6.24-1 del backport de debian y tambien compilando la version 2.6.25.6 y hace lo mismo.

PD: El /proc/sys/net/ipv4/ip_forward ya esta seteado en 1.

Lo de poder hacer ping es lo que me mata..

Desde ya muchas gracias!

# Generated by iptables-save v1.3.6 on Fri Jun 27 19:41:15 2008
*filter
:INPUT DROP [29:9246]
:FORWARD ACCEPT [12:1123]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Fri Jun 27 19:41:15 2008
# Generated by iptables-save v1.3.6 on Fri Jun 27 19:41:15 2008
*mangle
:PREROUTING ACCEPT [815825:315992822]
:INPUT ACCEPT [815740:315983213]
:FORWARD ACCEPT [84:8888]
:OUTPUT ACCEPT [815250:50854286]
:POSTROUTING ACCEPT [815334:50863174]
COMMIT
# Completed on Fri Jun 27 19:41:15 2008
# Generated by iptables-save v1.3.6 on Fri Jun 27 19:41:15 2008
*nat
:PREROUTING ACCEPT [519:154169]
:POSTROUTING ACCEPT [143:8819]
:OUTPUT ACCEPT [144:8879]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 27 19:41:15 2008

yoelrodguez · Forista Nuevo Miembro No. 28705 Registrado: Jul 09, 2008 Mensajes: 5

hola con este sencillo scrip pues hacer que las dos pc te salga a naversin problema a internet

#!/bin/sh

echo -n Aplicando Reglas de Firewall..

## Reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto en este casa todo acceptado
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# A la maquina local le permitomos todo
iptables –A INPUT –s 192.168.0.1 –j ACCEPT

# Permitomos el ftp
iptables –A INPUT –s 192.168.0.1/16 –p tcp –dport 20:21 –j ACCEPT

# Abrimos puertos 80
iptables –A FORWARD –s 192.168.0.1/16 –i eth0 –p tcp –-dport 80 –j ACCEPT
# Abrimos puertos https
iptables –A FORWARD –s 192.168.0.1/16 –i eth0 –p tcp -–dport 443 –j ACCEPT

# Abrimos la consulta de los DNS
iptables –A FORWARD –s 192.168.0.1/16 –i eth0 –p tcp -–dport 53 –j ACCEPT
iptables –A FORWARD –s 192.168.0.1/16 –i eth0 –p udp -–dport 53 –j ACCEPT

# Hacemos enmascaramiento de la red
iptables -t nat -A POSTROUTING –s 192.168.0.1/16 -o eth1 -j MASQUERADE

# Permitimos que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Cerramos el rango de puerto
iptables –A INPUT –s 0.0.0.0/0 –p tcp –dport 1:1024 –j DROP
iptables –A INPUT –s 0.0.0.0/0 –p udp –dport 1:1024 –j DROP

# Cerramos un puerto de gestión: webmin
iptables –A INPUT –s 0.0.0.0/0 –p tcp –dport 10000 –j DROP

echo “ OK . Verifique que lo que se aplica con: iptables –L -n“

#Fin

Con este scrip te permite salir 16 maquinas si quieres que sean menos solo tienes que cambarle el /16 o colocar por cada una de las maquinas que vallan a navegar una regla para el puerto 80 y una para el 443 al igual que para el ftp al igual que para el dns

Kde_Tony

por simple curiosidad, que significa en si 192.168.0.1/16 ??? ,

P.D muy buen script
_________________
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------

yoelrodguez · Forista Nuevo Miembro No. 28705 Registrado: Jul 09, 2008 Mensajes: 5

Eso quiere decir que 16 que tienes 16 bit y tendrías por mascara de red 255.255.0.0 permitiendo dote salir a navegar todo tu red es decir: en esa caso estarían autorizada navegar las maquinas con las siguiente dirección IP 192.168.0.1 y la 192.168.1.0 y así sucesivamente

santi79 · Forista Nuevo Miembro No. 28546 Registrado: Jun 27, 2008 Mensajes: 4

No, Probe ese script. Al igual que muchos otros que hay dando vueltas (que dicho sea de paso , siempre hacen los mismo).

Pero sigo sin recibir respuesta por HTTP. Conecta, envia el GET de HTTP pero nunca recibe nada.

El ping a dominios sigue funcionando sin problemas.
Por ahora lo solucione con un proxy trasparente usando Squid. Pero me da bronca que no funcione el NAT correctamente!!

A nadie le paso?

pepo

Buenas, verifica el archivo que maneja el "tracking" de las conexiones, a ver que dice:

cat /proc/net/ip_conntrack

En el deberias ver el tracking.
Sobre la eth1 una ip fija o dinámica=?

Saludos

yoelrodguez · Forista Nuevo Miembro No. 28705 Registrado: Jul 09, 2008 Mensajes: 5

Borifica que tengas el /etc/resolvconf que tegas colocado los dns y que cuando tu ejecutes nslookup te responda el servidor dns

Ejemplo

proxy#nslookup
> yahoo.com
Server: 200.0.24.5
Address: 200.0.24.5#53

Non-authoritative answer:
Name: yahoo.com
Address: 68.180.206.184
Name: yahoo.com
Address: 206.190.60.37
>

Una vez que el servidor dns este respondiendo verifica que en la maquina que esta haciendo la función de puerta de enlace se pueda navegar una ves que en la maquina se pueda navegar verifica que des las pc tu puedas hacer un nslookup y te este respondiendo como el ejemplo anterior lo que con la diferencia que en este caso te va a responder a tu dns interno que el se encarga de resolver hacia fuera una casa muy importe es que en las pc donde se va a salir a navegar tienen que tener configurado el la ip fija si no cuentas con un dhcp la puerta de enlace que es el la maquina que esta haciendo de Firaware el dns.

santi79 · Forista Nuevo Miembro No. 28546 Registrado: Jun 27, 2008 Mensajes: 4

yoelrodguez · Forista Nuevo Miembro No. 28705 Registrado: Jul 09, 2008 Mensajes: 5

Ejecuta desde una pc con windows el comando tracert cuando ejecutas este comando la primera ruta que encuentra es la ip de tu puerta de enlace que en este caso seria tu servidor proxy con esto puedes determinar la ruta de tu pc para salir a internet

Ejemplo:

tracert google.com

Traza a la dirección google.com [64.233.167.99]
sobre un máximo de 30 saltos:

1 1 ms <1 ms 1 ms 192.168.1.254
2 1 ms 1 ms 1 ms 200.0.24.129
3 1 ms 1 ms 1 ms 200.0.24.97
4 3 ms 15 ms 3 ms 200.0.24.65

alberto19033

hola, les agradeceria cual quier alluda que me dieran respecto al problema que tengo con el iptable, en las maquinas de afuera no funciona el outlook express ni el jabber es decir no se conectan directo al los servidores sin pasar por el proxy mio, aqui esta mas o menos la configuracion
#!/bin/sh

echo -n

##FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

##Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

##Empezamos a filtrar
/sbin/iptables -A INPUT -i lo -j ACCEPT

##Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.0.0/25 -i eth0 -j ACCEPT

##Puernos abiertos
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport -j ACCEPT

##Aceptamos que consulten los puertos DNS
iptables -A FORWARD -s 192.168.0.0/25 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/25 -i eth1 -p udp --dport 53 -j ACCEPT

##Ahora hacemos enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 192.168.0.0/25 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1:1024 -j DROP

iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 10000 -j DROP

echo

espero que me ayuden
gracias por adelantado

alberto19033

hola, les agradeceria cual quier alluda que me dieran respecto al problema que tengo con el iptable, en las maquinas de afuera no funciona el outlook express ni el jabber es decir no se conectan directo al los servidores sin pasar por el proxy mio, aqui esta mas o menos la configuracion y cuando lo corro me da un error en iptables_restore.

#!/bin/sh

echo -n

##FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

##Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

##Empezamos a filtrar
/sbin/iptables -A INPUT -i lo -j ACCEPT

##Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.0.0/25 -i eth0 -j ACCEPT

##Puernos abiertos
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport -j ACCEPT

##Aceptamos que consulten los puertos DNS
iptables -A FORWARD -s 192.168.0.0/25 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/25 -i eth1 -p udp --dport 53 -j ACCEPT

##Ahora hacemos enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 192.168.0.0/25 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1:1024 -j DROP

iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 10000 -j DROP

echo

espero que me ayuden
gracias por adelantado