View previous topic :: View next topic |
Author |
Message |
Xpctro n00b
Joined: 17 Feb 2003 Posts: 19
|
Posted: Tue Apr 13, 2004 11:35 am Post subject: Reenvio de puertos y ftp con Firewall iptables |
|
|
Hola a tod@s,
Tengo un firewall montado en el servidor linux, y todo va perfecto, a excepcion del reenvio de puertos y el ftp desde las maquinas internas .
las reglas que tengo son las siguientes:
-----------------------------------------------------------------------------
#!/bin/sh
# Script para arrancar el Firewall
# limpiando
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# permitimos que se conecten al servidor web
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
# iniciamos el filtrado
# port mapping
iptables -A FORWARD -i eth0 -p tcp --dport 9090 -o eth1 -d 192.168.2.2 - j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9090 -j DNAT --to 192.168.2.2
# permitimos las conexiones a localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# abrimos el acceso al firewall desde la red local
iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
# filtramos lo que sale de la red local con FORWARD
# HTTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# CVS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 2401 -j ACCEPT
# SMTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# POP3
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
# FTP
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 20:21 -j ACCEPT
# PLESK
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 8443 -j ACCEPT
# MSN MESSENGER
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT
# SYNC
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp --dport 873 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp --dport 873 -j ACCEPT
# PING
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p icmp --icmp-type any -j ACCEPT
# el resto de puertos los cerramos
iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -j DROP
# NAT
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
# activamos el ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# mostramos mas info para ip dinamicas
echo 2 > /proc/sys/net/ipv4/ip_dynaddr
# desactivamos ExplicitCongestionNotification
echo 0 > /proc/sys/net/ipv4/tcp_ecn
# activa TCPsyncookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# activa Verificacion de ruta (evitamos el IPSpoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
# cerramos los accesos indeseados desde el exterior
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1: -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1: -j DROP
-----------------------------------------------------------------------------
los modulos que cargo son:
iptables
iptable_filter
ip_conntrack
ip_conntrack_ftp
ip_conntrack_tftp
ip_conntrack_irc
ipt_state
iptable_nat
ip_nat_ftp
ip_nat_tftp
ip_nat_irc
ipt_MASQUERADE
ipt_REDIRECT
ipt_LOG
ipt_REJECT
El kernel es un 2.4.25_pre7-gss-r2
He estado revisando documentacion y tutoriales en internet pero no consigo encontrar lo que tengo mal.
¿algun sabio consejo?
Gracias por vuestra ayuda, y perdon por la extension del mensaje
Xpctro |
|
Back to top |
|
|
zorth l33t
Joined: 17 Feb 2004 Posts: 780 Location: Lovin' Gentoo
|
Posted: Tue Apr 13, 2004 10:18 pm Post subject: |
|
|
te cuento lo que he echo yo por si te vale de ayuda
instale el firewall jay, un script que una vez instalado, puedes lanzarlo como root y usarlo para definir con el comodamente las reglas que se adecuen a tus necesidades, como nat, puertos abiertos, tcp/udp, icmp, redirecciones etc.
cuando ya tienes todo configurado con firewall jay, este te crea tus nuevas reglas y las pone en tu /var/lib/iptables/rules-save
ahora, hago un iptables -L y luego un /etc/init.d/iptables save y ya tengo las reglas que configure con firewall jay cargadas en cada inicio por iptables sin que el firewall jay funcione como proceso de fondo.
la parte comoda de esto es que es muy facil con este script adecuar de forma que no hayan errores las necesidades de iptables para ti. la parte incomoda, es que al menos yo, cada vez que necesite cambiar en algo iptables, he de lanzar fw-jay de nuevo, guardar las reglas, volver a guardarlas con iptables y reiniciar este otra vez
te pongo, el manual que me hice de firewall jay para que no te compliques mucho la vida por si deseas probarlo.
saludos.
------------------------------
Quote: |
MODO SENCILLO EN ESPAÑOL :
pagina-->
http://firewall-jay.sourceforge.net
los posibles formatos para bajarlo--->
firewall-jay-1.0.3-1.i386.rpm Redhat Package
firewall-jay_1.0.3-1.i386.deb Debian Package
firewall-jay-1.0.3.tar.gz Other distibutions
como instalarlo--->
tar zxvf arhivo.tar.gz
./configure
make
make install
como configurarlo--->
firewall-config.pl
ponemos el tipo de conexion... si usamos modem ppp, si usamos tarjeta ethernet ethX donde X sera el numero de adaptador. ponemos si usamos ip fija o dhcp con ip dinamica y poco mas.
cuando acabemos, grabamos los cambios en el archivo de configuracion y listos.
para arrancar el firewall jay con nueva config para iptables--->
/etc/init.d/fw-jay start
las posibilidades son: start, restart, stop... etc.
para updatear una lista, para banear las ips de riia, spywares tipo double-click, gator, etc----->
firewall-spy-update.pl
y de nuevo lo configuramos--->
firewall-config.pl
vamos a: Features (optional) => Denying Hosts => Denying IPS dst
y picamos ahora ENABLE y al archivo que se baja con la lista de ips baneadas de spywares, riia y compañia que se llama: block-ip-out.spywares
el cual ahora nos consta ahi
volvemos a guardar cambios y ejecutamos --->
/etc/init.d/fw-jay reload-block-ip
para que cargue la lista y--->
/etc/init.d/fw-jay restart
IPTABLES:
---------
Para nuevas reglas en iptables, el archivo de config de iptables esta en /var/lib/iptables/rules-save
iptables-save > /var/lib/iptables/rules-save
/etc/init.d/iptables start
rc-update add iptables default
|
_________________ Geŋtoo Worłd Rułe§ |
|
Back to top |
|
|
kabutor l33t
Joined: 12 Dec 2002 Posts: 821 Location: Benalmadena - Melrose Place
|
Posted: Tue Apr 13, 2004 10:35 pm Post subject: |
|
|
Ey yo tb uso ese el firewall - jay , ya podian poner un ebuild, aunque mas que nada seria modificar el script de inicio y parada que no va 100% gentoo certificado
Lo malo del Firewall Jay es q no me deja hacer unas conexiones VPN por el poptop pero eso es otra historia... |
|
Back to top |
|
|
lunatc Guru
Joined: 18 Apr 2002 Posts: 409 Location: Canary Islands. Spain
|
Posted: Tue Apr 13, 2004 11:01 pm Post subject: |
|
|
has probado a añadir esto?
Code: |
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
|
Por probar, yo tengo esto en mi cortafuegos y según tengo entendido sirve para hacer que las los paquetes de las conexiones ya establecidas (=paquetes que no pidan nueva conexión) se acepten. (creo!)
Salu2 |
|
Back to top |
|
|
Xpctro n00b
Joined: 17 Feb 2003 Posts: 19
|
Posted: Wed Apr 14, 2004 6:52 am Post subject: |
|
|
Gracias a todos por vuestras respuestas
¿podria alguien mostrarme el fichero de reglas?
Es que me gustaria hacerlo a mano, sin usar ningun script ni nada parecido.
En cuanto a lo que me comentaba lunatc, lo probare aunque si no, deberia aceptar todas las conexiones, independientemente del estado, no?
Gracias
Xpctro |
|
Back to top |
|
|
Xpctro n00b
Joined: 17 Feb 2003 Posts: 19
|
Posted: Wed Apr 14, 2004 6:58 am Post subject: |
|
|
Pues lunatc, tenias toda la razon
Con añadir esas lineas me hace el reenvio de puertos y el FTP funciona a la perfeccion:D
Gracias lunatc y gracias a todos,
Xpctro |
|
Back to top |
|
|
lunatc Guru
Joined: 18 Apr 2002 Posts: 409 Location: Canary Islands. Spain
|
Posted: Wed Apr 14, 2004 4:44 pm Post subject: |
|
|
De nada Xpctro , me alegro de que haya funcionado.
kabutor wrote: | ...no me deja hacer unas conexiones VPN por el poptop pero eso es otra historia... |
Yo conseguí que el poptop funcionase, pero tuve que modificar algo en el cortafuegos. Si mal no recuerdo tienes que abrir el puerto tcp 1723 y el protocolo gre (-p 47) en iptables, además de habilitar el protocolo gre en el kernel
Salu2 |
|
Back to top |
|
|
kabutor l33t
Joined: 12 Dec 2002 Posts: 821 Location: Benalmadena - Melrose Place
|
Posted: Wed Apr 14, 2004 7:37 pm Post subject: |
|
|
Si si, si esos puertos ya se q tengo q abrirlos pero desde la LAN no puedo conectar a la VPN, y la lan la tengo con acceso ilimitado al server
Bajo el cortafuegos y conecta-... misterio ... |
|
Back to top |
|
|
LordAckward n00b
Joined: 29 Mar 2004 Posts: 69
|
Posted: Wed Apr 14, 2004 10:11 pm Post subject: una aplicacion: shorewall |
|
|
para instalar:
Code: | emerge shorewall
rc-update add shorewall default
|
No hay que tocar nada de iptables, eso lo hace el script. Solo hay que definir las zonas de red "/etc/shorewall/zones", las interfaces de red asociadas a esas zonas "/etc/shorewall/interfaces", las politicas de acceso entre zonas "/etc/shorewall/policy" y reglas especificas "/etc/shorewall/rules".
En tu caso para algo tan sencillo como port forwarding simplemente en el fichero rules una sentencia como la que viene de ejemplo:
Code: |
# Example: Forward all ssh and http connection requests from the Internet
# to local system 192.168.1.3
#
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# DNAT net loc:192.168.1.3 tcp ssh,http
#
|
Ademas no solo gestiona accesos basicos, tambien arp proxy, QoS y se integra con ipsec
Funciona de vicio incluso con freeSwan que ya solo hacerlo funcionar es una epopeya. De hecho es el unico software de gestion de iptables que viene en el minicd de securidad de http://localareasecurity.com |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|