Enrutar con IPTables

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
daniel20
Forista Nuevo
Forista Nuevo
Mensajes: 5
Registrado: Mar Ago 30, 2011 11:48 pm

Enrutar con IPTables

Mensaje por daniel20 » Lun Sep 12, 2011 6:13 pm

Hola

Soy nuevo en ipatbles

necesito hacer lo siguiente:

Tengo mi red asi:

163.174.4.1/25--> Firewall el cual tiene puerta de enlace 163.174.4.2, la cual se comunica con una red MPL alojada en un DataCenter, esta es eth1
190.69.158.90--> La cual es la salida a intetnet, es la eth0

Tengo configurado los cliente que la puerta de enlace sea la 4.1 y hasta hay bien.

El problema es que por medio del datacenter tengo concentradas varias ciudades las cuales los segmentos son 163.174.8.0, 163.174.5.0, 163.174.7.0, etc..

Cuando intento acceder a alguno de estos servidores no me responde.

Cuando en el FW bajo la interfaz eth0 funciona.

Que deberia configurar en el FW para que me permita hacer esto.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Enrutar con IPTables

Mensaje por mcun » Lun Sep 12, 2011 6:29 pm

ayudaría que postearas las reglas de tu iptables... pero así a ojo lo que te falta o no mencionas es un NAT
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
daniel20
Forista Nuevo
Forista Nuevo
Mensajes: 5
Registrado: Mar Ago 30, 2011 11:48 pm

Re: Enrutar con IPTables

Mensaje por daniel20 » Lun Sep 12, 2011 6:46 pm

Este es mi script


#!/bin/bash
# CONFIGURACION DE FIREWALL PARA NAT DE INTERNET Y BLOQUEOS DE PUERTOS

IPTABLES="/sbin/iptables" # ubicacion de iptables
INTERNET="eth0" # tarjeta de red que se conecta a Internet
LAN="eth1" # tarjeta de red que se conecta a la red local
IP_INTERNET="190.69.158.90" # dirección IP de la tarjeta de red que se conecta Internet

#LIMPIA TODAS LAS REGLAS ANTERIORES

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

#ACTIVACION DEL REENVIO DE PAQUETES

echo 1 > /proc/sys/net/ipv4/ip_forward



# "BLOQUEO DE PUERTOS ELITE"

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 40000 --sport 65000 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 34405 --sport 34405 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 54870 --sport 54870 -j DROP

#BLOQUEO DE FTP
iptables -A OUTPUT -o eth1 -p tcp --dport 21 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 21 -j DROP

iptables -A OUTPUT -o eth1 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 40000 --sport 65000 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 34405 --sport 34405 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 54870 --sport 54870 -j DROP



#BLOQUEO DE SIMULACION DE IP INTERNAS

iptables -A FORWARD -s 163.174.0.0/25 -i eth0 -j DROP

iptables -I INPUT -p tcp --dport 16760 -j REJECT
iptables -I INPUT -p tcp --dport 36457 -j REJECT
iptables -I INPUT -p tcp --dport 54870 -j DROP
iptables -I INPUT -p tcp --dport 1930 -j DROP
iptables -I INPUT -p tcp --dport 57414 -j DROP
iptables -I FORWARD -p tcp --dport 57414 -j DROP




iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 163.174.4.38:80


#"HABILITACION DE REENVIO DESDE LA LAN"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT



#iptables -t nat -A POSTROUTING -s 163.174.0.0/25 -p

##############################
# SE REDIRECCIONAN TODAS LAS
# PETICIONES POR EL PUERTO 80
# AL PROXY
################################

iptables -t nat -A POSTROUTING -s 163.174.4.1/25 -o eth0 -j SNAT --to 190.69.158.90
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128







############################
# SE NIEGA EL ICMP
###########################
$IPTABLES -A INPUT -i eth1 -p ICMP -j REJECT


#BLOQUEO DE P2P

#iptables -A PREROUTING -i ppp0 -p tcp --dport 12000:13000 -j DNAT --to-destination 163.174.4.0 -t nat
iptables -A FORWARD -i ppp0 -p tcp -s 163.174.4.0 --dport 12000:13000 -j DROP



#"SE ACEPTAN PAQUETES DE CONEXIONES CONOCIDAS"
$IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT

#"Se bloquean las conexiones que no han sido establecidas"
$IPTABLES -A INPUT -i $INTERNET -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $INTERNET -m state --state NEW,INVALID -j DROP
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Enrutar con IPTables

Mensaje por mcun » Lun Sep 12, 2011 7:09 pm

Bien efectivamente no estas haciendo un nat entre la eth1 de tu firewalld y las 163.174.x.0 por lo que las redes no se ven

Esto deberia ayudarte

coméntanos
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
daniel20
Forista Nuevo
Forista Nuevo
Mensajes: 5
Registrado: Mar Ago 30, 2011 11:48 pm

Re: Enrutar con IPTables

Mensaje por daniel20 » Lun Sep 12, 2011 7:42 pm

Que pena molestar tanto, pero es que no soy muy diestro en esto. Puse lo siguiete


iptables -A FORWARD -s 163.174.4.0/25 -d 163.174.8.0/25 -j ACCEPT
iptables -A FORWARD -s 163.174.8.0/25 -d 163.174.4.0/25 -j ACCEPT

iptables -A FORWARD -s 163.174.4.0/25 -d 163.174.5.0/25 -j ACCEPT
iptables -A FORWARD -s 163.174.5.0/25 -d 163.174.4.0/25 -j ACCEPT



Pero no me sirve

Editado -- Lun Sep 12, 2011 11:41 am --

Te agradeceria si me lo ayudas a construir

Deseo poder hacer ping y comunicarme desde la 163.174.4.0/25 a la 163.174.8.0/25, el script que aplique fue este



#!/bin/bash
# CONFIGURACION DE FIREWALL PARA NAT DE INTERNET Y BLOQUEOS DE PUERTOS

IPTABLES="/sbin/iptables" # ubicacion de iptables
INTERNET="eth0" # tarjeta de red que se conecta a Internet
LAN="eth1" # tarjeta de red que se conecta a la red local
IP_INTERNET="190.69.158.90" # dirección IP de la tarjeta de red que se conecta Internet

#LIMPIA TODAS LAS REGLAS ANTERIORES

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

#ACTIVACION DEL REENVIO DE PAQUETES

iptables -t nat -A POSTROUTING -s 163.174.4.0/25 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 163.174.4.2/25 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward



# "BLOQUEO DE PUERTOS ELITE"

iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 40000 --sport 65000 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 34405 --sport 34405 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 54870 --sport 54870 -j DROP

#BLOQUEO DE FTP
iptables -A OUTPUT -o eth1 -p tcp --dport 21 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 21 -j DROP

iptables -A OUTPUT -o eth1 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 31337 --sport 31337 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 40000 --sport 65000 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 34405 --sport 34405 -j DROP
iptables -A FORWARD -o eth1 -p tcp --dport 54870 --sport 54870 -j DROP



#BLOQUEO DE SIMULACION DE IP INTERNAS

iptables -A FORWARD -s 163.174.0.0/25 -i eth0 -j DROP

iptables -I INPUT -p tcp --dport 16760 -j REJECT
iptables -I INPUT -p tcp --dport 36457 -j REJECT
iptables -I INPUT -p tcp --dport 54870 -j DROP
iptables -I INPUT -p tcp --dport 1930 -j DROP
iptables -I INPUT -p tcp --dport 57414 -j DROP
iptables -I FORWARD -p tcp --dport 57414 -j DROP




iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 163.174.4.38:80


iptables -A FORWARD -s 163.174.4.0/25 -d 163.174.8.0/25 -j ACCEPT
iptables -A FORWARD -s 163.174.8.0/25 -d 163.174.4.0/25 -j ACCEPT

iptables -A FORWARD -s 163.174.4.0/25 -d 163.174.5.0/25 -j ACCEPT
iptables -A FORWARD -s 163.174.5.0/25 -d 163.174.4.0/25 -j ACCEPT


#"HABILITACION DE REENVIO DESDE LA LAN"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT



#iptables -t nat -A POSTROUTING -s 163.174.0.0/25 -p

##############################
# SE REDIRECCIONAN TODAS LAS
# PETICIONES POR EL PUERTO 80
# AL PROXY
################################

iptables -t nat -A POSTROUTING -s 163.174.4.1/25 -o eth0 -j SNAT --to 190.69.158.90
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128







############################
# SE NIEGA EL ICMP
###########################
$IPTABLES -A INPUT -i eth1 -p ICMP -j REJECT


#BLOQUEO DE P2P

#iptables -A PREROUTING -i ppp0 -p tcp --dport 12000:13000 -j DNAT --to-destination 163.174.4.0 -t nat
iptables -A FORWARD -i ppp0 -p tcp -s 163.174.4.0 --dport 12000:13000 -j DROP



#"SE ACEPTAN PAQUETES DE CONEXIONES CONOCIDAS"
$IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT

#"Se bloquean las conexiones que no han sido establecidas"
$IPTABLES -A INPUT -i $INTERNET -m state --state NEW,INVALID -j DROP
$IPTABLES -A FORWARD -i $INTERNET -m state --state NEW,INVALID -j DROP
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Enrutar con IPTables

Mensaje por mcun » Lun Sep 12, 2011 10:21 pm

es difícil que yo sin conocer la topo logia de tu red te pueda ayudar a construir el script ... ademas lo correcto es que te ayude a que entiendas como acerolos tu ya que luego deberás administrarlo..

Lee este manual es muy claro y está bien explicado

este otro también te puede ser útil

ademas del primero que te sugerí que es con el que aprendimos todos ...


si no lo puedes lograr y te urge te sugiero que uses un front-end para manejar el iptables http://shorewall.net/ es uno muy extendido y potente

también tienes un generador de reglas online que te puede ayudar mucho ..


: revisa los log para ver por que no se producen las coneciones y fijate que las redes respondan al ping ...

Ordena el iptables ya que el ordena de las reglas es importante .. yo te recomiendo que deniegues todo luego abras lo que precises y por último cierres todo


PD:No es desinterés ni mala onda es que me parece que es la mejor ayuda que te puedo brindar ...
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
daniel20
Forista Nuevo
Forista Nuevo
Mensajes: 5
Registrado: Mar Ago 30, 2011 11:48 pm

Re: Enrutar con IPTables

Mensaje por daniel20 » Lun Sep 12, 2011 11:28 pm

Gracias, voy a leer y te cto

En cuanto a lo que me dices de organizarlo, es que en ningun lado encuentro la gerarquia de las politicas, osea cual prevalece sobre cual.

Gracias
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Enrutar con IPTables

Mensaje por mcun » Lun Sep 12, 2011 11:51 pm

es lo que te indique

primero deniegas todo luego harbes lo que presidas y por ultimo cierras todo
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje