Configurar Debian Linux como Firewall/Gateway // Problemas varios que me encuentro

Question

Configurar Debian Linux como Firewall/Gateway // Problemas varios que me encuentro

Time Master 26 jul 2013 17:27

MegaAdicto!!!

5.476 mensajes
desde jul 2007
en Barcelona

Buenas, espero que alguien pueda ayudarme.

Tengo un servidor con 4 tarjetas de red funcionando bajo el sistema operativo Debian Wheezy. La configuración de la red es la siguiente:

eth0 -> 192.168.200.20
eth1 -> 192.168.30.1
eth2 -> 192.168.10.1
eth3 -> 192.168.0.1

El router lo tengo en la IP 192.168.0.100

Estoy configurando el firewall con la herramienta Webmin y por ahora he enmascarado la interfaz eth3 y he enlazado las otras interfaces con ésta de forma que ahora ya salen a internet todos los equipos conectados a las respectivas subredes físicas.

El problema ahora lo tengo cuando intento que el rango 30 y 10 (eth1 y eth2) no puedan acceder al rango 200 (eth0) ni puedan hacer pings.

Si hago -por ejemplo- que cuando la incoming interface es eth2 y outgoing interface es eth0 haga un drop de los paquetes supuestamente le digo que el rango 10 no pueda acceder al 200, pero en principio sí debería poder acceder a la inversa. Pues no. Cuando hago eso ambas redes dejan de verse completamente.

Con los pings me ocurre exactamente lo mismo. También he probado a poner el default action en accept en vez de en drop y crear reglas a la inversa, es decir, que la regla hace que bloquee el ping, y el efecto es el mismo. Si le digo que me bloquee ping de una red a la otra, me las bloquea mútuamente.

Estoy seguro de que lo que hago mal es alguna tontería pero no consigo verlo.

¿Alguien que me ilumine un poco?

Muchas gracias

7 respuestas

Answer 1 · 2013-08-01T17:06:28+00:00

puede ser que te falte decirle a eth1 y eth2 que acepten los paquetes para eth3 cuando el -m status --status established,related hablo de memoria pero con esa linea en el iptbles(no se en webmin) le dices que wth1 y 2 envíen paquetes a eth3 cuando la conexión haya ido egableida por eth3(x ejemplo para devolver ping) habló de memoria y desde el móvil pero ya que nadie te a lntestado creó que te servirá de ayuda. un saludo

Answer 2 · 2013-08-22T07:03:14+00:00

Muy buenas,

Como recomendación personal, para montar un FW sobre Linux/Unix te recomiendo "FWBuilder", no se si es compatible con ebtables sin embargo el manejo de iptables es genial. Nosotros lo utilizamos en nuestra empresa y "mano de santo".

Respecto al problema que tienes, no podrías sacar un log? Lo mismo vemos algo en claro.

Un cordial saludo,

Cristian

Answer 3 · 2013-08-27T14:21:15+00:00

Pues yo te diría que fbuilder no me gusta nada. Aunque es bueno para ponerte a analizar los scripts que ejecuta, si te gusta el scripting en bash.

Supongo que has hecho masquerading en todas las redes.

Supongo que estás usando iptables.

Tú lo que haces todo lo que venga de eth1 y 2 y vaya a eth0 drop

Lo que pasa es que cuando haces un ping desde eth0 a eth1 no peta no? :-)

Antes de la regla anterior, debes de introducir reglas que habiliten esto:

Para eso tienes el parámetro -m --state de iptables, por ejemplo, queremos acceder desde eth0 a un servidor ftp en eth1:

todo lo que venga de eth1 a eth0 por el puerto xxxx con un stado de stablished o related aceptar

Y eso con todo, para los ping etcétera.

Quédate con que si deniegas el acceso de una interfaz a otra, estás denegando no solo el acceso directo, de interfaz a interfaz, sino las posibles respuestas que puedas esperar

ping eth1 -> eth0 drop
ping eth0 -> eth1 accept y reenvía a eth0 DROP!!!

Por eso es tan importante el parámetro -m --state, porque hablilita la recepción de paquetes que han sido establecidos de ante mano. Eso como puedes ver, habilita que eth1 respondo a peticiones de eth0, pero no pueda ser el origen de la conexión.

Para hacer esto, debes usar la regla de tipo FORWARD, ya que input y output es para el propio firewall.

Lo tengo un poco olvidao el código exacto, pero si pones las reglas te digo más.

EDITO: Budethecat ha dicho lo mismo, se me ha pasado porque ha escrito todo junto y no se entiende ná! hahahah

Answer 4 · 2013-08-28T21:31:33+00:00

jajajajaja muy buena ps3ro, no te lo niego, para empezar esta bien, pero es que no se el nivel que tiene, de ahí que le recomiende fwbuilder.

Como bien dice ps3ro si pones las reglas que tienes te podemos ayudar más.

Best regards!!

Answer 5 · 2013-08-28T22:54:10+00:00

Mira, de un FW que tenía yo en una red virtual que me monté para aprender:

Si tienes un servidor web:
eth0 la del router

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT 
--to tu_ip_web:80

reply de ping entre redes y acceso por ssh:

SSH

iptables -A FORWARD -p tcp --sport 22 -s tu_red/mask -d 
tu_ip_server_ssh -m state --state ESTABLISHED,RELATED -j ACCEPT

PING

iptables A FORWARD p icmp icmptype 0 s tu_red/mask -d 
tu_red_eth0/mask -m state --state ESTABLISHED,RELATED -j ACCEPT

De la herramienta de webmin no me acuerdo porque no le hice mucho caso, pero te tiene que permitir ver algo como esto, creo. :-)

Jajaja CristianL, tienes razón pero me ayuda a no olvidar, así que le suelto el bodrio y hago repaso. [fumando]

alevesismo 31 ago 2013 21:24 Adicto **183** mensajes desde **jun 2013** · Answer 6 · 2013-08-31T20:24:46+00:00

para el tema de la configuracion de red mira esto

sudo gedit /etc/network/interfaces
auto lo eth0 eth0:0

iface lo inet loopback

iface eth0 inet static
address 192.168.2.6
netmask 255.255.255.0
gateway 192.168.2.1

iface eth0:0 inet static
address 192.168.3.4
netmask 255.255.255.0

Answer 7 · 2013-09-01T12:28:18+00:00

alevesismo escribió:para el tema de la configuracion de red mira esto

sudo gedit /etc/network/interfaces
auto lo eth0 eth0:0

iface lo inet loopback

iface eth0 inet static
address 192.168.2.6
netmask 255.255.255.0
gateway 192.168.2.1

iface eth0:0 inet static
address 192.168.3.4
netmask 255.255.255.0

Amparoo!!! Tas fumao un porro?? [fumando]

En serio, creo que te has equivocao de hilo. No pregunta por interfaces virtuales, eso creo :-)