Reglas Iptables

Question

Reglas Iptables

teesala 11 ene 2011 11:06

BOFH

2.511 mensajes
desde feb 2003
en En la nube

Buenas,

Tengo 2 redes separadas por un proxy linux (.0 y .1). Seria posible con Iptables en el proxy hacer que si desde la red 0 conectar a una ip y puerto (terminal server) de la red 1?

Muchas gracias!

Despues de una mañana con el tema estoy atascado con:

#!/bin/sh
### Flush de reglas
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table nat --delete-chain
#
## Establecemos predeterminada
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#
# Activacion del BIT de FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3899 -j DNAT --to 192.168.1.120:3899
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3899 -j DNAT --to 192.168.1.120:3899

192.168.1.120 es el destino y eth0 es la red donde esta el pc "cliente"

Gracias!

16 respuestas

Answer 1 · 2011-01-11T13:59:03+00:00

teesala escribió:Buenas,

Tengo 2 redes separadas por un proxy linux (.0 y .1). Seria posible con Iptables en el proxy hacer que si desde la red 0 conectar a una ip y puerto (terminal server) de la red 1?

Muchas gracias!

Despues de una mañana con el tema estoy atascado con:

#!/bin/sh ### Flush de reglas iptables --flush iptables --delete-chain iptables --table nat --flush iptables --table nat --delete-chain # ## Establecemos predeterminada iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT # # Activacion del BIT de FORWARDING echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3899 -j DNAT --to 192.168.1.120:3899 iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3899 -j DNAT --to 192.168.1.120:3899

192.168.1.120 es el destino y eth0 es la red donde esta el pc "cliente"

Gracias!

perdon, no me entero de la explicacion de tu problema [+risas]

Answer 2 · 2011-01-11T14:56:10+00:00

teesala 11 ene 2011 15:56

BOFH

2.511 mensajes
desde feb 2003
en En la nube

Que no conecta...

Voy a bajar un wireshark para mirar un poco mas :S

Answer 3 · 2011-01-11T15:02:49+00:00

a ver: lo que tu quieres es que desde la red A se pueda llegar a la red B pero solo a un puerto especifico?

Answer 4 · 2011-01-11T15:12:02+00:00

Que desde la red A se pueda entrar a un pc de la red B por el puerto 3389 (terminal server)

Answer 5 · 2011-01-11T15:15:48+00:00

ElChabaldelPc 11 ene 2011 16:15

InternetHateMachine

18.369 mensajes
desde nov 2003
en Alcala de Henares, Madrid

ok, pero solo a ese puerto en ese pc?

Answer 6 · 2011-01-11T15:24:01+00:00

Si, aunque las 2 redes ya estan separadas fisicamente por el proxy lo que quiero es que al conectar a la IP "proxy:3389" desde el pc de red A me salga el pc de red B

Gracias por las respuestas

Answer 7 · 2011-01-11T15:35:23+00:00

prueba con:

iptables -A FORWARD -i eth0 -p tcp --dport 3899 -d 192.168.1.120 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PD: no se si me he enterado bien, porq tengo un gripazo de la leche [+risas]

Answer 8 · 2011-01-11T16:14:42+00:00

ElChabaldelPc escribió:prueba con:

iptables -A FORWARD -i eth0 -p tcp --dport 3899 -d 192.168.1.120 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PD: no se si me he enterado bien, porq tengo un gripazo de la leche

Muchas gracias

Así rapido no me va, mañana por la mañana me mirare exactamente que hace cada regla por si hay algun matíz.

Ya te contare

Answer 9 · 2011-01-11T16:18:38+00:00

te digo: lo que seguramente me haya liado es con las interfaces

parece mentira que trabaje en esto [+risas]

Answer 10 · 2011-01-12T12:54:00+00:00

ElChabaldelPc escribió:prueba con:

iptables -A FORWARD -i eth0 -p tcp --dport 3899 -d 192.168.1.120 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PD: no se si me he enterado bien, porq tengo un gripazo de la leche

Aver si lo digo bien:

La primera regla redirige el trafico tcp que llegue por eth0 , puerto 3899 a 192.168.1.120?

La segunda el trafico que vuelva de eth1 a eth0 con related o established lo acepta?

La tercera ni idea

El esquema es pc_origen -> eth0 -> proxy -> eth1 -> pc_destino

EDITO:

Al parecer ya esta funcionando pero es mi hora de comer

En un rato te cuento que era

Muchas gracias por todo

Answer 11 · 2011-01-12T15:55:26+00:00

la primera lo has dicho bien
la segunda solo permite el paso de vuelta a las conexiones que ya estén empezadas
la ultima solo enmascara las conexiones

fruitis 14 ene 2011 21:28 Habitual 90 mensajes desde **nov 2009** · Answer 12 · 2011-01-14T20:28:38+00:00

Te ha funcionado??.. Yo estoy intentando compartir internet, pero no hay forma...
Wlan0= es la que se conecta a internet
Eth0= es cable de red para compartir conexion con otra computadora

iptables -A FORWARD -i wlan0 -p tcp --dport 80 -d 192.168.1.114 -j ACCEPT
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Answer 13 · 2011-01-17T16:07:10+00:00

fruitis escribió:Te ha funcionado??.. Yo estoy intentando compartir internet, pero no hay forma...
Wlan0= es la que se conecta a internet
Eth0= es cable de red para compartir conexion con otra computadora

iptables -A FORWARD -i wlan0 -p tcp --dport 80 -d 192.168.1.114 -j ACCEPT iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Para tu caso es mejor usar rutas:

colocas al pc "puente" como ruta por defecto del otro pc y en el router creas una nueva ruta que para llegar al otro pc utilice el pc "puente" como ruta.

fruitis 19 ene 2011 20:15 Habitual 90 mensajes desde **nov 2009** · Answer 14 · 2011-01-19T19:15:39+00:00

ElChabaldelPc escribió:
fruitis escribió:Te ha funcionado??.. Yo estoy intentando compartir internet, pero no hay forma...
Wlan0= es la que se conecta a internet
Eth0= es cable de red para compartir conexion con otra computadora

iptables -A FORWARD -i wlan0 -p tcp --dport 80 -d 192.168.1.114 -j ACCEPT iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Para tu caso es mejor usar rutas:

colocas al pc "puente" como ruta por defecto del otro pc y en el router creas una nueva ruta que para llegar al otro pc utilice el pc "puente" como ruta.

La idea es muy bonita pero me puedes decir de algun sitio por el que empezar... por mucho que veo y leo guias siempre es lo mismo... de hecho las scripts se las copian de unos a otros y solo le cambian el nombre... que Listos son todos!!!!.. haha..

Answer 15 · 2011-01-20T12:16:00+00:00

ElChabaldelPc 20 ene 2011 13:16

InternetHateMachine

18.369 mensajes
desde nov 2003
en Alcala de Henares, Madrid

Eso depende del modelo de tu router

fruitis 22 ene 2011 13:35 Habitual 90 mensajes desde **nov 2009** · Answer 16 · 2011-01-22T12:35:19+00:00

ElChabaldelPc escribió:Eso depende del modelo de tu router

Quizas no, me entendistes bien... o me explique mal opto por lo 2.. haha

Tengo un portatil que se conecta a internet a traves de wifi (Wlan0) de un router... de mi red y luego quiero compartir desde mi portatil con cabe(eth0) un hub y otro cable a otro pc2 (el internet que recibe el portatil...) fuera de la red originaria... como si fuera una red secundaria...