Reenvio de puertos y ftp con Firewall iptables

[Xpctro]

Hola a tod@s,

Tengo un firewall montado en el servidor linux, y todo va perfecto, a excepcion del reenvio de puertos y el ftp desde las maquinas internas .
las reglas que tengo son las siguientes:
-----------------------------------------------------------------------------
#!/bin/sh
# Script para arrancar el Firewall

# limpiando
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# permitimos que se conecten al servidor web
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT

# iniciamos el filtrado

# port mapping
iptables -A FORWARD -i eth0 -p tcp --dport 9090 -o eth1 -d 192.168.2.2 - j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9090 -j DNAT --to 192.168.2.2

# permitimos las conexiones a localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# abrimos el acceso al firewall desde la red local
iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

# filtramos lo que sale de la red local con FORWARD
# HTTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# CVS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2401 -j ACCEPT
# SMTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# POP3
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
# FTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 20:21 -j ACCEPT
# PLESK
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 8443 -j ACCEPT
# MSN MESSENGER
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT
# SYNC
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 873 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 873 -j ACCEPT
# PING
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p icmp --icmp-type any -j ACCEPT
# el resto de puertos los cerramos
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -j DROP

# NAT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

# activamos el ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# mostramos mas info para ip dinamicas
echo 2 > /proc/sys/net/ipv4/ip_dynaddr

# desactivamos ExplicitCongestionNotification
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# activa TCPsyncookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# activa Verificacion de ruta (evitamos el IPSpoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

# cerramos los accesos indeseados desde el exterior
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1: -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1: -j DROP
-----------------------------------------------------------------------------

los modulos que cargo son:
iptables
iptable_filter
ip_conntrack
ip_conntrack_ftp
ip_conntrack_tftp
ip_conntrack_irc
ipt_state
iptable_nat
ip_nat_ftp
ip_nat_tftp
ip_nat_irc
ipt_MASQUERADE
ipt_REDIRECT
ipt_LOG
ipt_REJECT

El kernel es un 2.4.25_pre7-gss-r2

He estado revisando documentacion y tutoriales en internet pero no consigo encontrar lo que tengo mal.
¿algun sabio consejo?

Gracias por vuestra ayuda, y perdon por la extension del mensaje
Xpctro

[zorth]

te cuento lo que he echo yo por si te vale de ayuda

instale el firewall jay, un script que una vez instalado, puedes lanzarlo como root y usarlo para definir con el comodamente las reglas que se adecuen a tus necesidades, como nat, puertos abiertos, tcp/udp, icmp, redirecciones etc.

cuando ya tienes todo configurado con firewall jay, este te crea tus nuevas reglas y las pone en tu /var/lib/iptables/rules-save

ahora, hago un iptables -L y luego un /etc/init.d/iptables save y ya tengo las reglas que configure con firewall jay cargadas en cada inicio por iptables sin que el firewall jay funcione como proceso de fondo.

la parte comoda de esto es que es muy facil con este script adecuar de forma que no hayan errores las necesidades de iptables para ti. la parte incomoda, es que al menos yo, cada vez que necesite cambiar en algo iptables, he de lanzar fw-jay de nuevo, guardar las reglas, volver a guardarlas con iptables y reiniciar este otra vez

te pongo, el manual que me hice de firewall jay para que no te compliques mucho la vida por si deseas probarlo.

saludos.

------------------------------

[kabutor]

Ey yo tb uso ese el firewall - jay , ya podian poner un ebuild, aunque mas que nada seria modificar el script de inicio y parada que no va 100% gentoo certificado

Lo malo del Firewall Jay es q no me deja hacer unas conexiones VPN por el poptop pero eso es otra historia...

[lunatc]

has probado a añadir esto?

[Xpctro]

Gracias a todos por vuestras respuestas

¿podria alguien mostrarme el fichero de reglas?
Es que me gustaria hacerlo a mano, sin usar ningun script ni nada parecido.

En cuanto a lo que me comentaba lunatc, lo probare aunque si no, deberia aceptar todas las conexiones, independientemente del estado, no?

Gracias
Xpctro

[Xpctro]

Pues lunatc, tenias toda la razon
Con añadir esas lineas me hace el reenvio de puertos y el FTP funciona a la perfeccion:D

Gracias lunatc y gracias a todos,
Xpctro

[lunatc]

De nada Xpctro , me alegro de que haya funcionado.

[kabutor]

Si si, si esos puertos ya se q tengo q abrirlos pero desde la LAN no puedo conectar a la VPN, y la lan la tengo con acceso ilimitado al server

Bajo el cortafuegos y conecta-... misterio ...

[LordAckward]

para instalar: