BULMA Bulma amb el projecta Defective by Desing
Bergantells Usuaris de GNU/Linux de Mallorca i Afegitons   |   Bisoños Usuarios de GNU/Linux de Mallorca y Alrededores
CONTENIDOS
. Jornadas de software libre
. Version para PDA
. Enlaces breves
. La asociacion
. Los mas leidos
. Autores [Actividad]
. Ultimos Comentarios
. Todos los titulares!
. Estadisticas
. Guia de estilo
. ¿Sugerencias?
. Wiki
. XML [Ayuda]
Listas de correo
. Archivos bulmailing
. Archivos BulmaGes
Radio libre :-)
. Des de la Xarxa (Archivos)
. Mallorca en Xarxa
Busquedas

+ Enlaces Linux
Ultimos kernels
(01/08/2010 05:10:59)
    
Google


En bulma.net
En internet
iptables y NAT para vagos (254734 lectures)
Por Ricardo Galli Granada
 gallir (http://mnm.uib.es/gallir/)
Creado el 30/09/2002 13:57 modificado el 14/01/2003 18:47

A pesar que en Bulma hay varios artículos explicando estos temas, es una pregunta recurrente en la lista Bulmailing. Además no se suelen usar las características, muy buenas, de control de conexiones del netfilter. Aquí doy un par de ejemplos concretos, especialmente preparados para los vagos que no se leen ningún tutorial :-)

Pagina1/1

En nuestros ejemplos vamos aprovechar las capacidades de control de conexiones que tienen las iptables. Primero, hay que tener en cuenta que el forwarding debe estar habilitado:

echo 1 > /proc/sys/net/ipv4/ip_forward

Y también recordar que para cambiar las reglas, primero hay que “borrar” las anteriores, por ejemplo:

iptables -F
iptables -t nat -F

Ahora veremos ejemplos particulares, en todos los ejemplos suponemos que las direcciones de nuestra red privada son 192.168.0.0/24 (es decir la máscara es de 24 bits: 255.255.255.0)

Sólo quiero hacer masquerading de una IP asignada dinámicamente

Caso común para un Linux que obtiene direcciones dinámicas de su proveedor de Internet, en el ejemplo lo doy con la interfaz ippp0, que es la que se usa para RDSI, pero podéis sustituirla por caulquier interfaz que uséis (eth0, ppp0...).

Además de hacer el NAT, vamos a permitir el tráfico ICMP (de los pings...) ya que está recomendado que así funcione. Veremos que las última 3 reglas, que no son obligatorias, peri os las recomiendo, lo que haces es descartar cualquier paquete que no sea de uina conexión previamente establecida.

# Habilito el NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0  \
     -j MASQUERADE
# Dejo pasar los paquetes ICMP
iptables -A INPUT -i ippp0 -p ICMP -j ACCEPT
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED \
    -j ACCEPT
# Rechazamos paquetes de conexiones nuevas
iptables -A INPUT -i ippp0 -m state --state NEW,INVALID -j DROP
# Rechazamos paquetes de forwarding de conexiones no establecidas
iptables -A FORWARD -i ippp0 -m state --state NEW,INVALID -j DROP

Pero también quiero permitir conexiones entrantes SSH y HTTP

Eso es fácil, antes de las últimas reglas “DROP” hay que poner unas que permitan las conexiones nuevas a esos puertos. Las reglas nos quedan de la siguiente forma:

# Habilito el NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0  \
    -j MASQUERADE
# Dejo pasar los paquetes ICMP
iptables -A INPUT -i ippp0 -p ICMP -j ACCEPT
# Permito conexiones al puerto 80 (HTTP)
iptables -A INPUT -i ippp0 -p TCP --dport 80 -m state --state NEW  \
    -j ACCEPT
# Permito conexiones al puerto 22 (SSH)
iptables -A INPUT -i ippp0 -p TCP --dport 22 -m state --state NEW  \
    -j ACCEPT
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED  \
    -j ACCEPT
# Rechazamos paquetes de conexiones nuevas
iptables -A INPUT -i ippp0 -m state --state NEW,INVALID -j DROP
# Rechazamos paquetes de forwarding de conexiones no establecidas
iptables -A FORWARD -i ippp0 -m state --state NEW,INVALID -j DROP

Si queréis “abrir” otros puestos, sólo tenéis que agregar esas nuevas reglas.

Tengo dirección IP fija, ¿como lo hago?

Es muy fácil, en vez de usar masquerading, vamos a usar una solución mejor: source NAT. Sólo hay que cambiar la regla del nat (la primera en los ejemplos anteriores). Si la interfaz que tiene la IP fija es la eth0, y la IP fija es la 111.111.111.111, nos quedaría:

# Habilito el SNAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 111.111.111.111
# Dejo pasar los paquetes ICMP
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
# Permito conexiones al puerto 80 (HTTP)
iptables -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW  \
    -j ACCEPT
# Permito conexiones al puerto 22 (SSH)
iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW  \
    -j ACCEPT
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED  \
    -j ACCEPT
# Rechazamos paquetes de conexiones nuevas
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
# Rechazamos paquetes de forwarding de conexiones no establecidas
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

Vale, pero ahora quiero redireccionar las conexiones a un puerto hacia un ordenador interno de mi LAN

Esto se llama destination NAT es bastante sencillo, sólo hay que poner una regla adicional. Por ejemplo, si queremos redireccionar las conexiones al puerto 80 hacia el puerto 80 de un ordenador en la red interna (192.168.0.111).

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \
           --to 192.168.0.111:80

Otro ejemplo sencillo y muy útil, redireccionar el puerto 2022 del ordenador haciendo de NAT o firewall hacia el puerto 22 (ssh) de un ordenador de la red interna.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2022 -j DNAT \
           --to 192.168.0.111:22

Voilà, funciona. También podéis leer los Howtos y tutoriales, que están hasta en castellano.


Imprimir
Version para
imprimir
Imprimir
Version
PDF
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
1.  NAT + MSN (Voz y datos) (30/09/2002 14:52, #8770)
  Por: El cobarde anónimo
Pregunta del millón de dolares que nadie ha sabido resolverme ...

¿Como haces para resolver el problema de masquerading de voz/y envío de ficheros con los clientes windoze que tienen dulces programitas como el MSN messenger detras de un linux con iptables?

Redirigiendo a los puertos que utiliza el msn/yahoo/irc no funciona, aviso...

A ver quien lo ha podido lograr, porque no he encontrado ningún caso.

Saludos,

 
2.  Re: NAT + MSN (Voz y datos) (30/09/2002 15:14, #8771)
  Por: gallir (http://mnm.uib.es/~gallir/)
No uso ni Microsoft ni Messenger (aunque sí el kmerlin). Pero creo que puedo ganarme al menos unos cuantos miles de dólares, Mira en estos dos lugares:

Voz, parece que está funcionando bien.

Transferencia de ficheros

Por otro lado, no conozco a nadie con un router ADSL (no-linux) que le funcione correctamente estos protocolos de MS.


 
3.  Re: NAT + MSN (Voz y datos) (30/09/2002 17:14, #8776)
  Por: kiko
> Por otro lado, no conozco a nadie con un router ADSL (no-linux) que le funcione correctamente estos protocolos de MS

Eso es cierto, y el problema no es del linux ni del router. El problema es que ciertos protocolos (como por ejemplo el netmeeting) no funcionan bien con nat porque direcciones IP viajan en el cuerpo de los paquetes tcp (y el nat, como es lógico, sólo actua sobre las cabeceras ip).

Hora de pasar a otras aplicaciones que utilizen protocolos menos "chusqueros" ?

Salu2
--
Kiko

 
4.  Re: NAT + MSN (Voz y datos) (02/10/2002 00:38, #8817)
  Por: NetVicious
Los routers suelen tener NAT específico para FTP, para los comandos PORT para ser exáctos. Es decir se chupan los paquetes de control y si mandas una dirección también le pega el cambiazo.

Los nuevos routers que suelen poner (los zyxel) ya llevan nat específico para el Netmeeting y cía. Los viejos router al no tener esa opción no posibilitan la comunicación al no hacer ese cambio, posibilidades:
- Pasar a monopuesto
- Intentar actualizar el firmware del router a ver si en la nueva versión ya le han agregado esa característica.

 
5.  Re: NAT + MSN (Voz y datos) (17/10/2002 03:10, #9208)
  Por: Diego RH
Yo utilizo desde hace un tiempo este gateway para la voz y video del MSN (SIP) http://sourceforge.net/projects/linux-igd Saludos Diego

 
6.  Re: NAT + MSN (Voz y datos) necesito una mano !! (02/02/2003 01:35, #11935)
  Por: fernando ferraro
tengo el servidor de upnpd funcionando, pero sin embargo en los clientes windows (98 y xp) no tengo voz para el messenger, alguna idea de que puede pasar.

 
7.  Re: NAT + MSN (Voz y datos) (14/11/2002 20:32, #9965)
  Por: Hector Luis
Buenas, yo he usado tanto netmeeting como msn, en varios pc's de una lan usando ADSL. Es medio engorroso, pero se puede. Yo imlpemente el protocolo H323 http://openh323.org Y para el msn, use una regla similar a esta, que la pueden encontrar en el Iptables tutorial: iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10 solo la aplique con 2 ordenares, y funciona bien. Tambien implemente esta regla, para un servidor del popular juego Counter Strike por si les interesa

 
8.  Re: NAT + MSN (Voz y datos) (18/03/2004 23:36, #20206)
  Por: ChaKal
hola yo tengo el mismo problema pero no se como hacerlo en mi coyote.... serias tan amable de ayudarme????

 
9.  Re: NAT + MSN (Voz y datos) (21/05/2004 00:37, #21368)
  Por: Anónimo
Con COYOTE a partir de la version 2.0 FUNCA automagicamente

 
10.  Re: NAT + MSN (Voz y datos) (05/03/2003 02:13, #12591)
  Por: El cobarde anónimo
Es al revés, IP (capa 3,RED) envuelve a TCP (capa 4, TRANSPORTE) Nat es incompatible con muchas soluciones (proxys, cuando van detras de él, IPsec, VPN, y cualquier aplicación que este cifrada en la capa 3, que es donde funciona NAT y los Routers) Estoy múy interesado IPtables y Snort, agradecería documentación en castellano.

 
11.  Re: NAT + MSN (Voz y datos) (01/03/2006 20:11, #31247)
  Por: Lucho
mmm.. a ver.. analicemos: "direcciones IP viajan en el cuerpo de los paquetes tcp" .. no sabia que TCP en su header tenia campos de 4 bytes para direcciones ip.. que loco no? El problema con esos protocolos es que la para "decirle" al otro peer cual es la direccion ip y puerto/s a utilizar para transferir audio/video, utiliza algun protocolo tipo sdp, el cual es un protocolo de capa 7 (aplicacion) e iptables solo inspecciona capas 3-4, a menos que haya algun modulo para masquerading.

 
12.  Re: NAT + MSN (Voz y datos) (02/02/2003 01:31, #11934)
  Por: fernando ferraro
tengo el servidor de upnpd funcionando, pero sin embargo en los clientes windows (98 y xp) no tengo voz para el messenger, alguna idea de que puede pasar.

 
13.  Re: NAT + MSN (Voz y datos) (12/01/2007 06:50, #37721)
  Por: Anónimo
no entendi un culo

 
14.  Re: NAT + MSN (Voz y datos) (14/01/2003 20:31, #11442)
  Por: Carles Pina
yo uso gnomemeeting detrás del firewall linux

#!/bin/bash
IPTABLES=/sbin/iptables
OUT_DEV=eth2
IN_HOST=192.168.1.3
TCP_PORT_RANGE=30000:30010
UDP_PORT_RANGE=5000:5003
TCP_LISTENING_PORT=1720



$IPTABLES -t nat -A PREROUTING -i $OUT_DEV -p tcp --dport $TCP_PORT_RANGE -j DNA
T --to-dest $IN_HOST
$IPTABLES -t nat -A PREROUTING -i $OUT_DEV -p udp --dport $UDP_PORT_RANGE -j DNA
T --to-dest $IN_HOST

$IPTABLES -A FORWARD -p tcp -i $OUT_DEV --dport $TCP_PORT_RANGE -d $IN_HOST -j A
CCEPT
$IPTABLES -A FORWARD -p udp -i $OUT_DEV --dport $UDP_PORT_RANGE -d $IN_HOST -j A
CCEPT

$IPTABLES -t nat -A PREROUTING -i $OUT_DEV -p tcp --dport $TCP_LISTENING_PORT -j
DNAT --to-dest $IN_HOST
$IPTABLES -A FORWARD -p tcp -i $OUT_DEV --dport $TCP_LISTENING_PORT -d $IN_HOST
-j ACCEPT


es muuuy a saco pero funciona (es un copy and paste modificado del faq del gnomemeeting (www.gnomemeeting.org))

en el gnomemeeting en las opciones tienes que poner que haces nat/pat (creo que lo pone así) y poner tu dirección pública. Y va genial, hice pruebas, etc.

Recordar que el tema es que usa el protocolo h323 (aprox.) que es abierto y en windows puedes usar ohphone que va muuuuy bien y tambien permite trabajar detrás de firewalls..

 
15.  Re: NAT + MSN (Voz y datos) (29/05/2003 23:02, #14757)
  Por: HynoX
mira, para la transferencia de archivos si qu ehay solucion, yo tengo un speedstream5660 y me funciono, tienes que añadir los puertos en tcp del 6891 al 6901, son solo 10, y podras enviar y recibir, SUERTE!!!! HynoX

 
16.  Re: NAT + MSN (Voz y datos) (22/01/2004 20:09, #19303)
  Por: Juank
Hola.
Soy nuevo en esto de la utilizacion del iptables.
Me podria indicar como habilitar estos puertos para poder transmitar y recibir archivos???

Desde ya Muchisimas Gracias

 
17.  Re: NAT + MSN (Voz y datos) (21/10/2003 20:49, #17570)
  Por: El cobarde anónimo
Hola que tal yo lo tengo andando perfecto sonido video file transfer .....

 
18.  Re: iptables y NAT para vagos (30/09/2002 15:35, #8772)
  Por: El cobarde anónimo

Molt be, potser que ara nomes ens faltaria fer un altre per a extremadament "vagos" o com diuen en el meu poble, per a gossos malfaeners.

En serio esta molt be l'article, ja va cap a la impresora ...... el que no he entes es lo del comentari del router adsl (no linux), que vols dir exactament? ... :)


 
19.  Re: iptables y NAT para vagos (30/09/2002 16:10, #8775)
  Por: gallir (http://mnm.uib.es/~gallir/)
No saps que vol dir "no-linux"? Nomes una aclaracio, que no funcionen a routers "propietaris".

Tinc un colega que va perdre hores amb el tema provant amb routers Nokia i Eicom.

 
20.  Re: iptables y NAT para vagos (11/03/2005 02:16, #25623)
  Por: Enric de Clascà (http://www.blitzstorm.ca.tt)
Visca el CATALA !!!!

 
21.  Re: iptables y NAT para vagos (02/12/2005 13:51, #29768)
  Por: Anónimo
Éste es un hilo en castellano, ¿tanto te cuesta ser educado? Personas, como tú, hacen que otras personas, como yo, no podamos ver a los catalanes. Ala majo!!, ya vas aviado.

 
22.  Re: iptables y NAT para vagos (30/09/2002 17:38, #8779)
  Por: iarenaza (http://www.escomposlinux.org/iarenaza/)
# Habilito el NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
Ups!, creo que falta un '-o ippp0' por ahi en esa regla. De lo contrario en ciertas situaciones te pueden pasar algunas cosas muy simpaticas ;)

Por cierto, no existen tutoriales para vagos que no leen. Si no leen, por defecto, no pueden existir tutoriales para ellos;)

Saludos. Iñaki.


 
23.  Re: iptables y NAT para vagos (02/10/2002 00:41, #8818)
  Por: NetVicious
Todo sería probar a montar un OGG con todo dicho de palabra, o que un programa nos leyese el texto XD

Aunque luego ¿como podríamos hacer el copy & paste a la consola ? XDD

 
24.  Re: iptables y NAT para vagos (30/09/2002 20:39, #8786)
  Por: El cobarde anónimo
Mierda me faltan modulos, siempre esto igual, aghh! Muy bueno el artículo, voy recompilar a ver si me queda un iptables un poco decente pq con el q tengo hasta los hakers del canal 9 me hechan el sistema abajo!

 
25.  Re: iptables y NAT para vagos (01/10/2002 02:30, #8793)
  Por: El cobarde anónimo
Yo en tenia un de fet que m'anava molt bé però amb aquest artcile m'has solventat algun dubte que no sabia solucionar. T'he donat les gràcies. Gràcies!

 
26.  Re: iptables y NAT para vagos (19/11/2002 00:13, #10100)
  Por: Tomasulo (http://sabor-gitano.iespana.es)
Hola, alguien conoce un programa para tener conversaciones con voz, q se pueda usar con un router????? Gracias.

 
27.  Re: iptables y NAT para vagos (17/01/2003 02:02, #11489)
  Por: xkill (http://ciberhell.ath.cx)
Bueno, programas hay mucho, y e primcipio todos funcionan con un router. El problema es que si al abrir la conversacion es el otro ordenador es se intenta conectar con el tuyo, tendras que enrutarte ese puerto a tu ordenador.
Un programa muy conocino para hacer conferencias es el gnommeting, se hay más pero no se cuales.

 
28.  Re: iptables y NAT para vagos (27/11/2004 11:46, #24501)
  Por: [^BgTA^] (http://www.bgta.net)
Skype.Com Voz via IP y esta para varias plataformas :-D

 
29.  Re: iptables y NAT para vagos (24/11/2002 18:29, #10286)
  Por: El cobarde anónimo
He encontrado de rebote éste artículo y la verdad estaba buscando algo así para montar en mi casa un proxy (NAT). Tengo supercable y varios equipos en el piso y quería montar un proxy para tener todos acceso a internet.

Lo que no se es.., en los clientes Windows, ¿qué pongo como puerta de enlace.., la IP del equipo Linux? ¿y cómo DNS.., qué IP´s coloco?

Si atendéis a esta respuesta. Os estaría agradecidos. Sino, con que me redireccioneis a algún tutorial, también os lo agradecería.

Seguid así. Si necesitais colaboración, también ofrezco mi granito de arena. Pedid y se os dará.

 
30.  Re: iptables y NAT para vagos (24/11/2002 19:27, #10287)
  Por: gallir (http://mnm.uib.es/~gallir/)
El gateway por defecto de os ordenadores que tienes en tu red interna debe ser la dirección IP del la red interna (192.168...) del Linux. El DNS, el que uses normalmente, no afecta.

 
31.  Re: iptables y NAT para vagos (15/01/2003 09:22, #11447)
  Por: El cobarde anónimo
Pegale un vistazo a: www.redes.upv.es/irc/trabajos/IR-iptables.pdf Haber si tengo tiempo y lo termino algún dia... tiene fallos, pero siempre puede servir de algo y lo que falte SIEMPRE está hecho y comentado en algún sitio... Open-Source :)

 
32.  Re: iptables y NAT para vagos (31/05/2004 13:42, #21623)
  Por: Fede
Excelente, gracias a tu pdf logre entender como funciona todo esto. Muchas gracias.

 
33.  Re: iptables y NAT para vagos (24/01/2003 19:17, #11752)
  Por: YoMisMo
Y si lo que necesito es un NAT selectivo: -> Lo que quiero es dar por ejemplo acceso a CORREO/HTTP a ciertas IP's -> Y solo acceso SSH a otra IP Denegando cualquier otro servicio a cualquier IP Es decir, filtrar los servicios a los que tiene acceso cada IP. ¿como se haría?

 
34.  Como filtro el ping???? (03/03/2003 14:33, #12556)
  Por: rolfi18
Hola queria saber como puedo hacer para que no me puedan hacer ping y de esta manera se piensen que la maquina esta offline. gracias

 
35.  Re: Como filtro el ping???? (26/03/2003 01:34, #13164)
  Por: Maynor Mijangos
pues utiliza: echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all y problema resuelto. Saludos,

 
36.  Re: iptables y NAT para vagos (04/05/2003 02:23, #14165)
  Por: cesk
Funciona el traceroute o xtraceroute con estas iptables? a mi no.

 
37.  Re: iptables y NAT para vagos (04/05/2003 02:28, #14166)
  Por: cesk
si me funciona, perdon, o eso parece

 
38.  Re: iptables y NAT para vagos (05/06/2003 02:00, #14915)
  Por: Denzil
Yo intento hacer vnc a una maquina de mi red interna pero no logra localizar el servicio y todos los howto´s muestran esta instruccion, yo lo que necesito es especificar que salga por la eth1 (192.168.0.111, maquina interna), y mi eth0 es una ip fija (sever linux), enpocas palabras necesito una instruccion mas efectiva ayudas y sugerencia muchas gracias!!!. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5800 -j DNAT --to 192.168.0.111:5800 ah porcierto tambien redirecione el puerto 5900

 
39.  Re: iptables y NAT para vagos (19/06/2003 23:41, #15330)
  Por: El cobarde anónimo
necesito configurar iptables, como le hago para resolver el problema de voz y envío de ficheros con los clientes windows que tienen dulces programitas como el MSN messenger, necesito saber que puertos son por favor.................. ayuda por fa

 
40.  iptables y NAT (23/06/2003 00:35, #15407)
  Por: Goody
Hola, tengo una preguntita:
he ingresado la siguiente regla nat dentro de un script en mi host bastion:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.5:80

y me gustaria saber cual seria la regla nat para que mi red interna tenga acceso al puerto 80 del servidor web

Ampliacion:
host bastion ------>(eth0:IPFIJA, eth1:192.168.0.1)
Servidor Web ------>(eth0:192.168.0.5)

La regla mencionada arriba como veras redirecciona al servidor web y permite el acceso desde el exterior al puerto 80, pero me gustaria tambien tener acceso desde mi red interna.

Extracto
#!/bin/bash
iptables -F
iptables -t nat -F
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to IPFIJA

#Permitimos la comunicacion a nuestro servidor dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

#Permitimos la comunicacion a nuestro servidor dns
iptables -A INPUT -p udp --dport 53 -j ACCEPT

#Permitimos que se conecten a nuestro servidor web(80)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#Permitimos que se conecten a nuestro servidor ftp(21)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#Permitimos que se conecten a nuestro ssh(22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Denegamos todas las entradas
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to 192.168.0.5:53

iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to 192.168.0.5:53

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.5:80

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.5:21

Ampliación:
Desde cualquier maquina de mi red interna, habro cualquier explorador, y digito la IPFIJA con esto visualizaria el contenido del servidor web, pero no logro eso estoy seguro que me falta ingresar alguna regla en el Bastion para permitir eso.

En cuanto al exterior es logico que al realizar lo explicado ellos si pueden ver el contenido.

Al ingresar desde mi red interna la ip privada del servidor web(192.168.0.5) si se puede ingresar al contenido, pero mi intension es simular como si estubiera ingresando desde el exterior.


 
41.  Re: iptables y NAT (23/06/2003 00:47, #15409)
  Por: gallir (http://mnm.uib.es/~gallir/)
El problema que tienes tú es que los ordenadores se conectan directamente si pones la IP fija, al estar en la misma red local (mira un poco de enrutado IP). Eso es normal y no podrás cambiarlo con el iptables a menos que hagas guarradas con las rutas IP en cada uno de los ordenadores de la red interna.

Por otro lado, si quieres que funcione con nombres (¿te refieres a eso con "simular accesos desde el exterior?) lo tendrás que solucionar con DNS con vistas.


 
42.  Asunto solucionado (23/06/2003 11:37, #15420)
  Por: Goody
Esa solución me vino como anillo al dedo, XXDD.

sacame de una duda sobre bind8 y bind9 ya que me instaron a utilizar siempre el bind8, por ser mas confiable. que opinas tu.

ya que me anime a usar bind9 cual de estas versiones me recomiendas:
bind9 --------> version 9.2.2-7 [5.4MB]
bind9-devel --> version 9.2.2-7 [8.1MB]
estoy sudando suse 8.2 profesional

 
43.  Re: iptables y NAT (02/06/2005 13:37, #26938)
  Por: santi
Hay una solución. Si haces el DNAT, la conexión de retorno tienes que asegurar que vuleva a pasar por el fw. Para hacerlo, añade una regla en el POSTROUTING cambiando el origen de la petición. Esto hace que todo el tráfico vaya por el fw. La regla seria iptables -A POSTROUTING -p tcp -m tcp -s 192.168.0.0/255.255.255.0 -d 192.168.0.5 --dport 80 -j SNAT --to-source 192.168.0.1 Tendrás que poner esta regla para cada uno de los PREROUTING anteriores. (ojo con la red/mascara que he puesto la que me ha parecido, tiene que ser tu red local)

 
44.  equivalencia de mascara (23/06/2003 18:05, #15436)
  Por: Goody
mascara 255.255.255.0 ----> 192.168.0.0/24
mascara 255.255.255.128 --> 192.168.0.0/?

 
45.  Solución (23/06/2003 18:28, #15439)
  Por: Goody
Respuesta: la mascara es 255.255.255.128 la suma de los binarios sera igual a 25

estoy en lo cierto en no? XXDD

Por lo tanto aqui lo tines: 192.168.0.0/25

 
46.  Re: Solución (23/06/2003 18:40, #15440)
  Por: gallir (http://mnm.uib.es/~gallir/)
Si, es 25, pero no es la "suma", sino el "número" de bits fijos contando desde la izquierda.

 
47.  que extraño caso jeje (23/06/2003 18:47, #15441)
  Por: Goody
y si fuese al revez 128.255.255.255 ---> si contamos de izquierda obtendriamos lo mismo, osea 25

 
48.  Re: que extraño caso jeje (23/06/2003 18:56, #15443)
  Por: gallir (http://mnm.uib.es/~gallir/)
No, esa máscara está mal (porque sería 100000001111111111111111), la máscara de red comienza desde la izquierda y los "1" no puede intercalarse con "0"s.

Puedes interpretarlo de oytra forma si quieres: el /24 indica que los primeros 24 bits de la dirección son "fijos" para la red.


 
49.  Estoy conforme (23/06/2003 19:09, #15444)
  Por: Goody
Que bien, he entendido perfectamente, solo fue para obtener un poco de teoria de parte tuya.

 
50.  Un apreton de mano de parte de Goody (23/06/2003 19:49, #15446)
  Por: Goody
Hola gallir, ya he resuelto completamente todo referente a "simular accesos desde el exterior" lo he probado y aquedado de maravilla.

Ahora configurare mi pop3 y smtp, asi que te seguire preguntado jejeje.

 
51.  Un mensaje para los proximos (23/06/2003 19:59, #15447)
  Por: Goody
Queria decirles a los que tengan el mismo problema, simular accesos desde el exterior

si algo les falla digita esto en tu consola:
tail -f /var/log/messages

recuerda luego activar los servicios, ahi veras que si esta fallando el named u otro y chekea que linea es y documentate si es posible.

si todo va bien y estas realizando las pruebas desde tu lan y no te responde prueba a reiniciar solo tu conexion a internet desde tu maquina.

puedes probar haciendo ping si gustas.

 
52.  Re: equivalencia de mascara (25/01/2006 19:00, #30688)
  Por: Richi
1 2 3 4 5 6 7 8 128 64 32 16 8 4 2 1 128 192 224 240 248 252 254 255 / 25 / 26 / 27 / 28 / 29 / 30 /31 /32

 
53.  Re: iptables y NAT para vagos (23/06/2003 21:13, #15448)
  Por: El cobarde anónimo
En mi servidor instale postnuke, claro desde luego mysql tambien, en mi caso para poder configurar postnuke ingreso mi usuario y contraseña una vez verificados mis datos tengo acceso al main menu (home, My Account, Administration, logout), pero los usuarios externos a los que doy acceso han instalado y esta todo ok, pero al ingresar sus claves no se les muestra la lista del main menu solo, esta el "home", tambien hize la prueba desde mi lan e igual no visualizo las demas opciones del main menu.

¿sabes tu, a que se debe eso? que tengo que configurar.

 
54.  Re: A tu problema (27/06/2003 13:33, #15524)
  Por: Goody
Hola yo he probado el postnuke y tanto mi lan como el exterior puede acceder al Main Menu. eso me huele a que algo esta mal bien en tu postnuke o bien en tu sistema, pero voy a tratar de probocar ese fallo en mi servidor haber si doy con ello. Estate atento...

 
55.  Re: A tu problema (01/07/2003 13:07, #15598)
  Por: Goody
He probado con un AMD XP 2000 y resulta que me dio tu problema. he leeido por ahi hacerca de unos parches

http://marc.theaimsgroup.com/?l=linux-kernel&m=102376926732464&w=2

puedes bajarlo de aquí si gustas:
http://www.gtlib.cc.gatech.edu/pub/suse/people/ak/v2.4/old/
pero ahora la cosa es instalarlo.

Gallir tienes idea de como instalar estos parches?

 
56.  Disculpa la molestia (26/06/2003 17:12, #15506)
  Por: Goody
Hola, tengo el siguiente problema con el apache, al abrir cualquier documento php me aparece esto:

Warning: Unknown(/home/incognito/www/adivina/ilustrado.php): failed to create stream: Permission denied in Unknown on line 0

Warning: Unknown(): Failed opening '/home/incognito/www/adivina/ilustrado.php' for inclusion (include_path='.:/usr/share/php') in Unknown on line 0

 
57.  Re: Disculpa la molestia (26/06/2003 19:25, #15508)
  Por: Goody
El problema no viene de apache ya que hice pruebas. con otros archivos php como el postnuke en los cuales no dio problema alguno, tambien cree desde el servidor atravez de la orden touch archivo.php y lo probe y tampoco dio error ahora estoy haciendo la prueba desde la lan, voy a subir un archivo creado en mi lan ya que me huele esto a permisos. vuelvo enseguida con la conclusion final...

 
58.  Re: Disculpa la molestia (26/06/2003 20:10, #15509)
  Por: Goody
Como lo quieren por partes, o directo al grano? ;)
vayamos por partes: probe en mi lan atravez de ssh y todo marcho de maravilla, luego probe con un cliente ftp gracias a Dios vi los permisos y me detuve a meditar por que me aparecia asi: -rw------- , asi que lo cambie por: -r--r--r-- , y asunto arreglado.

Conclusion:
Al subir por ftp mis archivos estaban subiendo con:

* permisos de lectura para el propietario
* permisos de escritura para el propietario

y para permisos de grupo y permisos públicos estaban en nada jeje.

 
59.  Re: Disculpa la molestia (26/06/2003 20:30, #15510)
  Por: Goody
Si bien el asunto esta arreglado, pero ahora me gustaria que al subir por ftp automaticamente tenga los permisos: chmod 444 *.*

 
60.  Re: Disculpa la molestia (01/07/2003 15:13, #15600)
  Por: Goody
He analizado y para aquellos que usan el vsftpd y quieren que cuando suban algo al servidor sus permisos automaticamente cambien, entonces para ello bayan a

cd /etc
kwrite vsftpd.conf
y luego procedan a quitar la almohadilla de
#local_umask=022

eso es todo asi de sencillote... jeje

 
61.  Re: Disculpa la molestia (22/04/2004 21:04, #20858)
  Por: Anónimo
tu te lo comes y tu te lo guisas chavalote. xDDD

 
62.  Pregunta de cajon. (24/07/2003 19:20, #16064)
  Por: Tboard
Tengo una pregunta que estpy seguro ustedes podran ayudarme a responder.

Tengo dos equipos, un servidor de paginas web linux con una IP Dinamica, donde monte la intranet de la empresa donde trabajo y un equipo normal, el mio, donde opero programas de diseño.

En mi computador, tengo, Kazza, msn, yapphone, net2phone, etc.. Cada vez que quiero usar los servicios me toca desconectar internet del servidor y pasarlo al mio. Ya logre configurar squid, para poder ver HTML, pero estoy como loco buscando como puedo usar Kazaa y MSN sin problema. Creo que la solucion es IPTABLES. Veo que aqui saben mucho del tema y agradeceria una mano.

Segun lo que he leido, no soy muy bueno, entiendo que debo construir una linea de IPtables donde le pida al servidor que "re envie" todos los paquetes de Ip que entran a la maquina (eth1) por internet (eth0) respetando la ip y el puerto a donde vallan.

a) No se como hacerlo
b) Me pregunto como saben los paquetes como volver a mi maquina.

En fin, agradeceria una fuerte mano.

Tuyo Isaza

 
63.  Re: iptables y NAT para vagos (26/07/2003 20:51, #16106)
  Por: El cobarde anónimo
Hola tengo una maquina en casa que la utilizo para trastear con iptables. El caso es que a este firewall le conecto otra máquina que simula la LAN y otra mas que simula lo que sería el DMZ.

Doy servicios tanto HTTP, SSL, TELNET, SMTP, POP3, etc.. sin ningún problema, tanto para clientes externos como para la máquina que simula LAN.
Sin embargo FTP se me atraganta, consigo hacer FTP de la máquina de la LAN a una máquina del DMZ, pero no puedo ofrecer servicios FTP al exterior, ni que la máquina de la LAN se conecte a un servidor FTP remoto.
Las reglas de el firewall son las siguientes.
Tened en cuenta que las políticas de MANGLE y NAT son ACCEPT y la de FORWARD DROP, interfaz externa eth0, ip de maquina LAN 192.168.200.2(eth2)


ftp de maquina LAN a exterior

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth2 -s 192.168.200.2/32 -p tcp --sport $unprivports --dport 21

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 192.168.200.2/32 -p tcp --sport $unprivports --dport 21

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -d 192.168.200.2/32 -p tcp --sport 21 --dport $unprivports -m state --state ESTABLISHED


$IPTABLES -t filter -A FORWARD j ACCEPT -i eth0 -d 192.168.200.2/32 -p tcp --sport 20 --dport $unprivports

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -d 192.168.200.2/32 -p tcp --sport 20 --dport $unprivports

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth2 -s 192.168.200.2/32 -p tcp --sport $unprivports --dport 20


$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth2 -s 192.168.200.2/32 -p tcp --sport $unprivports --dport $unprivports

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s 192.168.200.2/32 -p tcp --sport $unprivpots --dport $unprivports

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -d 192.168.200.2/32 -p tcp --sport $unprivports --dport $unprivports

De conexiones externas a servidor ftp del DMZ ya hablaremos

Un saludo

 
64.  Re: iptables y NAT para vagos (29/07/2003 21:57, #16150)
  Por: El cobarde anónimo
Estas redireccionando¿

 
65.  Re: iptables y NAT para vagos (29/07/2003 22:00, #16151)
  Por: El cobarde anónimo
Hola amigo mira aqui tienes mucho material referente a codigo para tu iptables http://www.linux-firewall-tools.com/linux/

 
66.  Re: iptables y NAT para vagos (29/07/2003 22:02, #16152)
  Por: El cobarde anónimo
Puedes optar por comprar si gustas el libro Firewalls LInux por Robert L. Ziegler. Pidelo en tu libreria, todo esta en Ingles no creo que tengas problemas.

 
67.  Re: iptables y NAT para vagos (31/07/2003 16:47, #16167)
  Por: El cobarde anónimo
como lo hago con el DNS si lo tengo en otra maquina que no el firewall

 
68.  Re: iptables y NAT para vagos (01/08/2003 17:20, #16190)
  Por: El cobarde anónimo
Hola a todos y gracias por contestar

No estoy direccionando pq para ello utilizaría DNAT o SNAT lo que estoy haciendo es enmascarar, por eso utilizo MASQUERADE

Respecto al libro de Ziegler ya lo poseo y por suerte en español. Te recomiendo si te gusta este tema que te mires el libro Routers LInux de Tony Mancill de la misma editorial que el anterior Prentice Hall y también en español.

Para lo del DNS esto te puede servir ya que a mí me funciona ok. Yo lo tengo para un servidor DNS de internet, si tu tines el DNS en otra red te sobra todas las lines de MASQUERADE
Donde:
$redeth2 es la red a la que quieres permitir DNS (red de clientes de DNS)
$DNS1 y $DNS2 son los servidores DNS que tengas configurados
-i ó ó ethX dependerá de en que eth del router tienes pinchadas las redes.

Te aconsejo que si lo abres desdes Windows lo pegues en un notepad para poder verlo decentemente.

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth1 -s $redeth1 -p udp --sport $unprivports --dport 53 -d $DNS1
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth1 -s $redeth1 -p udp --sport $unprivports --dport 53 -d $DNS2
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth1 -s $redeth1 -p tcp --sport $unprivports --dport 53 -d $DNS1
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth1 -s $redeth1 -p tcp --sport $unprivports --dport 53 -d $DNS2
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s $redeth1 -p udp --sport $unprivports --dport 53 -d $DNS1
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s $redeth1 -p udp --sport $unprivports --dport 53 -d $DNS2
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s $redeth1 -p tcp --sport $unprivports --dport 53 -d $DNS1
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth0 -s $redeth1 -p tcp --sport $unprivports --dport 53 -d $DNS2

# Ahora debemos permitir que los paquetes de vuelta puedan entrar en nuestro router para que los transmita
# a nuestros clientes que hicieron la petición para 192.168.150.0/24

$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -p udp -s $DNS1 -d $redeth1 --sport 53 --dport $unprivports -m state --state ESTABLISHED
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -p udp -s $DNS2 -d $redeth1 --sport 53 --dport $unprivports -m state --state ESTABLISHED
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -p tcp -s $DNS1 -d $redeth1 --sport 53 --dport $unprivports -m state --state ESTABLISHED
$IPTABLES -t filter -A FORWARD -j ACCEPT -i eth0 -p tcp -s $DNS2 -d $redeth1 --sport 53 --dport $unprivports -m state --state ESTABLISHED

 
69.  Re: iptables y NAT para vagos (01/08/2003 17:28, #16191)
  Por: gallir (http://mnm.uib.es/~gallir/)
"masquerading" en las iptables es lo mismo que "NAT" (SNAT), pero se usa cuando la dirección IP del servidor con iptables es variable.

 
70.  Re: iptables y NAT para vagos (04/08/2003 12:07, #16227)
  Por: El cobarde anónimo
Lo siento OK es verdad, tremendo error

 
71.  Re: iptables y NAT para vagos (12/08/2003 21:28, #16379)
  Por: El cobarde anónimo (http://www.vapor.cl)
ok me fue bien pero no puedo desde mi red acceder a mi pagina que esta en mi servidor web, pero si la pueder ver desde afuera

 
72.  pregunta suse 8,2 (08/10/2003 01:35, #17405)
  Por: cedield
necesito colaboracion..estoy con linux suse 8.2 y firewall2 la pregunta es. tengo una mascara 255.255.255.248 para mi ip externa y para mi ip interna la mascara es 255.255.255.0 cuando hago nat hacia un lugar de mi red interna no funciona como puedo solucionar el problema

 
73.  Re: pregunta suse 8,2 (08/10/2003 16:18, #17411)
  Por: El cobarde anónimo
Mucho Cabrera Garcia

 
74.  Re: iptables y NAT para vagos (18/11/2003 04:07, #18126)
  Por: Anonimo
Tengo un servidor que esta como firewall 2 tarjetas de red con direcciones 192.x.x.x en la eth1 y en la eth0 10.x.x.x necesito que algunos ips de la 192.x.x.x vean unas ips de la 10.x.x.x como le puedo hacer.. Gracias

 
75.   (03/12/2003 13:37, #18422)
  Por: Elizabeth
Hola, necesito montar un servidor de seguridad en linux para una intranet un poco grande (500 estaciones de trabajo) con filtrado de contenido y no tengo ni idea, la red está bajo la plataforma de windows pero quieren que este servidor esté en linux. Podrían ayudarme o indicarme por lo menos que debo saber. Muchas gracias

 
76.  Enrutado???? (18/12/2003 15:22, #18687)
  Por: Principiante
Hola. Bueno la verdad soy aun un principiante en esto, pero me gustaria aprender, por eso instale Suse 8 a un server proliant, el caso es que Tengo Un server Instalado con Suse 8 con dos tarjetas de red eth0 con ip real 111.111.111.111 y la otra eth1 con ip 192.168.0.1 para la redinterna, el problema es que tengo que pasar por el getway 111.111.111.1 para acceder a internet, el server se conecta a internet, el caso es que como hago para distribuir esa linea de internet a la red interna, todas las demas terminales (192.168.0.10-192.168.0.19) son P-III con windows 98. please como ya comente soy aun principiante en eso, agradecere cualquier informacion como para un novato. gracias.

 
77.  No me sale (25/01/2004 06:29, #19377)
  Por: Anónimo
Ya intente de mil formas pero no puedo compartir el internet con la red LAN (eth1 172.16.0.X) el servidor se conecta por medio de ppp0 y eth0. Pongo el uno en el forward, borro la reglas -F y -t nat -F y activo el nat y nada agrego y combino reglas segun cada articulo que leo y nada.

Cuando pruebo en la LAN el winmx jala bien (es como el Kazza) se pueden bajar subir y buscar archivos, pero cuando quiero abrir alguna pagina no lo hace en el server me dice en eth1:

00:27:45.412192 172.16.0.10.1087 > .domain: 346+ A? yahoo.com.mx. (30)
00:27:45.412294 > 172.16.0.10: icmp: udp port domain unreachable [tos 0xc0]
00:27:45.412572 172.16.0.10.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

en eth0:

00:28:43.080928 PPPoE [ses 0x1cda] dsl-201-128-123-151.prod-infinitum.com.mx >
dsl-201-128-241-60.prod-infinitum.com.mx: icmp: dsl-201-128-123-151.prod-infinitum.com.mx udp port netbios-ns unreachable [tos 0xc0]
00:28:43.093165 PPPoE [ses 0x1cda] dsl-201-128-123-151.prod-infinitum.com.mx.32769 > nsmex6.uninet.net.mx.domain: 1299+ PTR? 151.123.128.201.in-addr.arpa. (46) (DF)

y en ppp0:

00:29:58.682091 201.128.123.151.4306 > 69.56.247.190.http: S 2039827070:2039827070(0) win 64240 (DF)

y no jala ni una pagina.

que hago entonces ya probe con copy-paste de cada articulo dejando solo el nat activado con combinacion politicas diferentes con puertos y estados y nada.

uso RH9 2.4.24 iptables 1.2.7a y quiero poner 2.6.X pero solo hasta que me salga aquí...

porfa alguien ayudeme...
gracias...

 
78.  Por cierto (25/01/2004 07:05, #19378)
  Por: Anónimo
Se me olvidó decir que la tabla de ruteo dice: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 148.223.237.129 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 148.223.237.129 0.0.0.0 UG 0 0 0 ppp0 ese 169.254.0.0 me da mala espina pero enfin ustedes digan.

 
79.  Re: Por cierto (08/02/2004 22:52, #19685)
  Por: Anònim
joder! Me pasa lo mismo con SNAT y dos ip's lógicas y una interfaz de red.

 
80.  Ya me salió (10/02/2004 02:38, #19698)
  Por: Anónimo
Bien después de varios intentos por fin le dí al clavo no se si sea la mejor forma o la correcta o que, pero salió. En una de tantas se me ocurrió correr el servidor DNS y como por arte de magia todo funcionó a la perfección; todavía tengo duda de si hay algo mal o no por mientras seguiré probando haber si no me causa problemas después. sale eso es todo por el momento...

 
81.  Re: No me sale (17/06/2004 03:48, #21947)
  Por: Anónimo
tienes que compartir el infinitum si tienes ip dinamicas si no quieres estar configurando el nat o puedes redireccionar la ip fija que te da el infinitum en el nat

 
82.  Re: iptables y NAT para vagos (01/04/2004 17:33, #20482)
  Por: marcos
hola tengo un problema quiero redireccionar con el nat el puerto 25 y 110 al proveedor de internet. el me da mail.tucbbs.com.ar para recibir mi mail yo haciendole ping a mail.tucbbs.com.ar me tira una ip como puedo hacer con el nat mara que de mi lan funcione el correo buscandolo en mail.tucbbs.com.ar o ya sea en la ip que me da el mismo cuando le hago ping

 
83.  Re: iptables y NAT para vagos ;DHCP (02/04/2004 20:42, #20498)
  Por: TuX
Y bueno aka estoy pelenado con Gentoo las IPtables l verdad es q no puedo hacer q el server q tengo de gentoo me de internet a una red por DHCP para no configurar nada ... en las maq de la red (mi jefe se enojo por q no puede bajar mails del outlook) si alguien me puede dar una manito estare agradecido ...

 
84.  SSH Bastion (22/04/2004 21:06, #20859)
  Por: carenas
Hola, disculpen mi ignorancia... He buscado sitio tras sitio, aunque aparece en muchas partes, no logro conseguir la solución a mi problema. Simplemente quiero hacer un salto desde mi máquina que está en la DMZ, con una interfaz para la red interna, hacia una máquina de la red interna. Es decir, que cuando desde afuera hagan SSH este caiga directamente en la red interna y no en el servidor. Lo he hecho con diferentes reglas de iptables pero ninguna ha funcionado. Gracias por la ayuda que me puedan brindar.

 
85.  Configuracion de mi red con iptables (07/09/2004 00:25, #23194)
  Por: Mandrake
Buenas noches, mi problema es el siguiente tengo un servidor en linux suse 9.1, ya lo tengo configurado como proxy con el squid, ahora lo que me gustaria es configurar el iptables, para que un ordenador de mi red lan pudiera jugar en red a un juego en un determinado servidor que tiene estos datos: LoginServer = 207.150.162.150,2593 Llevo mucho tiempo dandole vueltas, y no se que pasa que no soy capaz. Digamos que la ip de mi host lan que quiero que pueda jugar en red es IP1 y que la ip de mi servidor es IPSERVER. Os agradeceria mucho que me ayudarias.

 
86.  Problema haciendo NAT (27/10/2004 14:28, #23984)
  Por: Anónimo
Hola, a ver si me sacais del apuro.

Quiero redirigir el 5500 del firewall a la red interna, en concreto a la 10.0.0.9:3389 (máquina con terminal server). Para lo cual tengo esta regla:

iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i eth0 -p tcp --dport 5500 -j DNAT --to 10.0.0.9:3389

pero me quedan estas reglas:

----------------------------------------------------------

[root@localhost root]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 10.0.0.0/24 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:1024
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1:1024
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


---------------------------------------------------------

como veis, la regla del NAT se me queda como DROP y no funciona.

Se os ocurre algo?

Un saludo y gracias de antemano.

 
87.  Re: iptables y NAT para vagos (16/11/2004 19:48, #24291)
  Por: jluis
alguien me pudiea enviar un firewall hecho con iptables que le funcione mi direccion ip 192.168.0.1 y quiero cerrar los puertos de kaza y imesh nada mas van a salir lo clientes a navegar y recibir correos uso dchp saludos jlusi

 
88.  Re: iptables y NAT para vagos (16/11/2004 20:13, #24293)
  Por: Anónimo
xvxvxvxv

 
89.  Re: iptables y NAT para vagos (30/01/2005 16:54, #25170)
  Por: velkro
ricardo:
tengo un par de comentarios para hacerte. obviamente no son con mala intencion, sino que solamente para aclarar, y aclararme en caso de estar equivocado, ciertas cosas.

comentarios:


{quote ricardo}
iptables -F
iptables -t nat -F
{/quote}

podriamos agregar para esta completitos:
iptables -t mangle -F


{quote ricardo}
dentro de:
Sólo quiero hacer masquerading de una IP asignada dinámicamente

dice:
... vamos a permitir el tráfico ICMP (de los pings...) ...
# Dejo pasar los paquetes ICMP
iptables -A INPUT -i ippp0 -p ICMP -j ACCEPT
{/quote}

para ser un poco mas especificos, ahi estas permitiendo todo el trafico icmp, no solo el icmp echo request y el icmp echo reply, no?


{quote ricardo}
dentro de:
Sólo quiero hacer masquerading de una IP asignada dinámicamente

dice:
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
{/quote}

si no estoy equivocado, a el '--state RELATED' le tendrias que agregar ESTABLISHED, qudando '--state ESTABLISHED,RELATED' como para que realmente funcione.


{quote ricardo}
dentro de:
Vale, pero ahora quiero redireccionar las conexiones a un puerto hacia un ordenador interno de mi LAN

dice:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.111:80
{/quote}

aca estoy casi seguro de que te falta la regla que hace snat, porque sino al intentar enviar a la red interna un paquete con una ip fuera de esa subred el linux box no te lo va a permitir. esto mismo me paso hace un tiempo porque los forward no me funcionaban, y encontre esto:

# ---- begin comments ----
# Ok.. Thanks to Malcolm i figured it out. All it needed was a POSTROUTING
iptables rule
# to change the source address of the packets so that the sql server that's
not in the
# "real-server network" knows where to return the packets too. Like this:
# Forward all ms-sql connections coming from real servers to DIP to SQL02 on
trusted network

iptables -t nat -A PREROUTING -p tcp -d $DIP -i eth1 --dport $SQL -j
DNAT --to-destination $SQL02:$SQL
iptables -t nat -A POSTROUTING -p tcp -d $SQL02 -o eth0 --dport $SQL -j
SNAT --to-source $VIP

# probado por mi: funciona perfectamente.
# ---- end comments ----


nada mas. espero haber aportado algo, y ya saben, cualquier error mio, avisen.

saludos, velkro.

 
90.  Re: iptables y NAT para vagos(En si esto es una Preguta) (01/06/2005 14:39, #26926)
  Por: Anonimo
Hey estado leyendo los comentarios.
Logre que compartiera internet a mi red LAN con Dedian woody r2 ok.
Explico Tenemos Servicio de Internet ADSL con IP publica 200.23.23.115 por decir. Compramos un Dominio midominio.edu.bo donde me pidieron los datos de servidor DNS y les proporcione:
nombre del servidor : servidor
IP :200.23.23.115
Con estos datos tengo mi servidor(Debian) que me comparte Internet.
Ahora Tengo una maquina local 192.168.0.115 con servidor web(correo,ssh,ftp)instale bind9 midomio.edu.bo funciona pero en la intranet tambien quiero que desde afuera entren a mi servidor web.
1.- que reglas tengo que aplicarle para que tengan acceso a 192.168.0.115 desde afuera ó que hago?
2.- También tengo que configurar algún archivo de Bind para tener salida hacia afuera?:(
Siento molestarlos

 
91.  Re: iptables y NAT para vagos (31/05/2005 01:51, #26909)
  Por: Joker
Hola aTodos Bueno aacabo de instalar el suse 9.2 en un servidor sun, ya logre configurar el squid sencillo (la verdad sencillo) unicamente cambie una reglas de acceso, mi problema es que no consigo abrir el puerto 3389, segun yo unicamente pones una un acl como esta acl Safe_ports port 3389 reinicio el squid y no me da accesso Espero me puedan resolver la dudad gracias

 
92.  Re: iptables y NAT para vagos (01/06/2005 17:43, #26930)
  Por: Wilber
Hey estado leyendo los comentarios estupendo. Logre que compartiera internet a mi red LAN con Dedian woody r2 OK :) pero..........El Problema es
Explico Tenemos Servicio de Internet ADSL con IP publica 200.23.23.115 por decir. Compramos un Dominio midominio.edu.bo donde me pidieron los datos de servidor DNS y les proporcione:
nombre del servidor : servidor
IP :200.23.23.115
Con estos datos tengo mi servidor(Debian) que me comparte Internet.
Ahora Tengo una maquina local 192.168.0.115 con servidor web(correo,ssh,ftp)instale bind9 midomio.edu.bo funciona pero en la intranet tambien quiero que desde afuera entren a mi servidor web.
1.- que reglas tengo que aplicarle para que tengan acceso a 192.168.0.115 desde afuera ó que hago?
2.- También tengo que configurar algún archivo de Bind para tener salida hacia afuera?:(
Siento molestarlos

 
93.  truco para algunos modems ADSL (01/07/2005 18:38, #27329)
  Por: ifanlo (http://superalumnos.net)

Me estuve volviendo loco intentando que funcionasen esas reglas con mi modem USB CT-350. Estaba al borde del suicidio... cuando googleando encontré esta página: http://nekohako.xware.cx/tech /adsl-2.4.html en dónde me llamó la atención este párrafo:

However, due to ADSL icky-ness, you will need to use the TCPMSS module to clamp the TCP MSS so your TCP connections work correctly. (Note: Roaring Penguin PPPoE can do MSS clamping internally - you won't need this rule if you're using Roaring Penguin) You can do this using the rule: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

eso me hizo volver a mirarme el man iptables, donde encontré esto otro:

TCPMSS
This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40). Of course, it can only be used in conjunction with -p tcp.
This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:
1) Web browsers connect, then hang with no data received.
2) Small mail works fine, but large emails hang.
3) ssh works fine, but scp hangs after initial handshaking.

Me gusta especialmente eso de "to overcome criminally braindead ISPs..." la frase parece jugosa) :-)

El caso es que probé tal cual:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

y fue comenzar a funcionar todo...

Quede como referencia histórica de la SOLUCIÓN para los que tengan PROBLEMAS haciendo NAT con un MODEM ADSL

no grito... es para que Google lo indexe mejor :-)


 
94.  Re: truco para algunos modems ADSL (13/10/2005 07:29, #28869)
  Por: Mac
Tengo un problema al respecto. Yo antes tenia un firewall debian woody configurado con las siguientes reglas de mss: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu y iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1412 y me andaba perfecto (sin esas reglas la mayoria de las paginas no me funcionaban). El tema es que ahora migre a debian sarge y monte las mismas reglas y no me funcionan, son pocas las paginas a las que puedo entrar. ¿Que puede estar pasando?, ¿por que no funciona? Gracias Mac

 
95.  Re: truco para algunos modems ADSL (13/10/2005 18:13, #28873)
  Por: Mac
Listo, lo solucione, el problema era el orden de las reglas. Se ve que tenia reglas anteriores que anulaba a estas. Saludos Mac

 
96.  Re: iptables y NAT para vagos (10/07/2005 17:32, #27432)
  Por: Anónimo
hola, tengo un redhat 7.3 que trabaja muy bien y no tengo problemas, mi problema comenzo cuando levante un server de ftp en la red interna y no doy con tecla para que se pueda acceder desde internet a ese ftp, logicamente desde la red interna si se puede
te doy algunos datos, server linux 192.168.0.1, server ftp 192.168.0.2, mas abajo estan las reglas que estoy usando actualmente, savedata@fibertel.com.ar
desde ya te estoy agradecido por darme una mano, saludos OSCAR
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -j LOG
#para negar paquetes icmp
iptables -A INPUT -p ICMP -i eth0 --icmp-type echo-request -j DROP
iptables -A INPUT -p tcp --dport 6000 -j DROP
iptables -A INPUT -p udp --dport 6000 -j DROP
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p udp --dport 23 -j DROP
iptables -A INPUT -p tcp --dport 20 -j ACCEPT # ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # ftp
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # smtp
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns
#iptables -A INPUT -p udp --dport 53 -j ACCEPT # dns
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # pop
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https
#iptables -A INPUT -p tcp --dport 10000 -j ACCEPT # webmin
iptables -A INPUT -p tcp --dport 4660:4670 -j ACCEPT # emule
iptables -A INPUT -p udp --dport 4660:4670 -j ACCEPT # emule
iptables -A INPUT -p tcp --dport 6560:6570 -j ACCEPT # emule
iptables -A INPUT -p udp --dport 6560:6570 -j ACCEPT # emule
iptables -A INPUT -p udp --dport 5900 -j ACCEPT # vnc
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I FORWARD -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
iptables -I INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT # doy via libre a la red interna
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#para el emule
iptables -t nat -I PREROUTING -p tcp --dport 4660:4670 -j DNAT --to 192.168.0.2
iptables -t nat -I PREROUTING -p udp --dport 4660:4670 -j DNAT --to 192.168.0.2
# ftp server
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 192.168.0.2:21
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20 -j DNAT --to 192.168.0.2:20
iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 --dport 20 -j ACCEPT

 
97.  Re: iptables y NAT para vagos (29/09/2005 01:43, #28639)
  Por: willy
hola, me parece que lo que te esta haciendo falta es esto

iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

si te fijas se aplica a la cadena forward, tambien tenes que tener compilado el soporte para seguimiento de conexiones ftp en el kernel,

CONFIG_IP_NF_FTP

si estas con el make menuconfig la opcion es "ftp protocol support" si no sabes donde buscar mandame un mail, eso tiene que estar compilado si o si

 
98.  Iptables para leer mi correo en Gmail (pop3) (13/07/2005 20:45, #27459)
  Por: Jofrano
Ke debo hacer para poder accesar a mi cuenta en Gmail via pop3..asumiendo el puerto 995... tengo una maquina Windows y el proxy es Linux Mandrake 9.0 con 2 tarjetas de red eth0 local y eth1 internet... Gracias

 
99.  Re: iptables y NAT para vagos (17/07/2005 22:41, #27498)
  Por: Jofrano
Muy interesante el articulo ,, y me gustaria me ayudaran a aclarar lo siguiente.. 1° defino la situiacion : Una red de 40 PC con servidor Windows 2000 server (active directory/DHCP),,1 un servidor Linux Red Hat 9.x.. con acceso a internet con dos tarjetas de red eth1 => Internet eth0 => Lan, mi pc tiene Ms Windows XP pro y Linux Fedora Core 4... Mis necesidades son las sguientes.. 2° Kisiera poder descargar mis e-mail de gmail (pop =925 y Smtp = 587), usando Outlook, tunderbird o cualquier cliente de correo y por su puesto poder enviar. Tambien usar los puertos pop3 standard 110 y smtp 25. he creado varios script pero cuando ejecuto ip_forward me da un error que dice que no puedo ejecutarlo por falta de derechos o algo asi... 3° El SubGerente usa el programa Net2Phone.. asumo que habra que configurar los puertos requeridos. 4° Hay personas que usan software P2P,, es posible bloquear la subida y permitir la bajada? 5° Yo trabajo en un 4° piso.. me gustaria habilitar el acceso remoto con algun terminal ssh o similar.. para poder realizar modificaciones como las anteriores desde mi pc... Se ke son muchas la dudas, tambien se que uds. son personas ocupadas, algunos me recomendaran leer los How-to y tenganlo por seguro que los tengo, pero no logro poner en practica la teoria.. tengo como 3 manuales de iptables con ejemplos y todos los entiendo (eso creo) pero no logro poner en practica. Me gustaria me enviaran a mi correo script ejemplos de lo anterio para poder analizarlos y ajustarlos a mis necesidades. De antemano muchas gracias Jofrano

 
100.  Re: iptables y NAT para vagos (25/08/2005 18:32, #28045)
  Por: Henur
Hola, tengo un Linux Fedora 3.0, tengo habilitado Squid y DansGuradian para la salidad de internet. Necesito publicar un servidor de la red Interna (172.16.100.100), que tiene una BD Oracle y IIS de Windows 2003. para que desde internet la accesen por la direccion 200.28.0.159. que comando y configuracion debo realziar con IPTABLES. Gracias

 
101.  Re: iptables y NAT para vagos (14/09/2005 07:45, #28367)
  Por: Anònim
Yo quiero hacer alto atípico y no sé si se podrá hacer, aparte de que consulto acá porque no me dá la capocha jeje. Es lo siguiente, tengo 2 ISP, con 2 direccionamientos diferentes... pero las interfaces de LAN las tengo en la misma vlan, entonces...

Supongamos que la 200.55.XXX.XXX es la de un server
192.168.0.164 Donde tengo FTP

Y 200.66.XXX.XXX es donde están los usuarios.
192.168.0.64

Lo que quiero es hacer que cuando los usuarios se conecten al FTP de 200.55.XXX.XXX:21 mi servidor en 200.66.XXX.XXX me traduzca esa petición y me conecte a la Red interna es decir a la 192.168.0.164 en vez de la 200.55.XXX.XXX
Para que la conexión no se haga via internet, sino via LAN.
Obviamente, sería más sensillo pasarles a los usuarios la IP interna y a la bosta... pero el tema es que no quiero confundirlos, de que si están desde fuera de la red tienen que usar una ip y desde dentro otra ip. Es un bardo. Se podrá hacer? Con iptables e iproute supongo.
Saludos.

 
102.  Iptables + pop3 +smtp (05/10/2005 19:46, #28748)
  Por: Jose Orozco
Buenas tardes. Tengo una pregunta..

como puedo configurar el iptables para que me permita acceder a los puertos pop3 110 - 925 y los puertos smpt de las cuentas de Y! - Hotpop - Gmail???

(pc personal) ========(proxy)=========(internet)

el proxy => Linux RedHat 9.0 + Squid
eth0 -> internet ????
eth1 -> Lan (red local) (192.198.0.1)


Pc Personal => Windows XP Pro (192.168.0.49)


Gracias

Jose Orozco


Pd. Favor responder a mi email?



 
103.  Re: Iptables + pop3 +smtp (22/12/2005 22:55, #30162)
  Por: Anónimo
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p tcp --dport 995 -j ACCEPT

 
104.  iptables y NAT para vagos (12/10/2005 19:42, #28856)
  Por: Anònim
hola soy novato en esto pero quisiera saber si me pueden ayudar en esto el problema es el siguiente. tengo una red 192.168.x.x y un servidor de linux con 2 tarjetas de red una para mi red local y la otra conectada a un router con adsl. quisiera saber como le doy acceso a algunas direcciones de mi red local para que salgan a internet y como niego las que no quiero que salgan..

 
105.  Re: iptables y NAT para vagos (26/10/2005 19:14, #29107)
  Por: Eden
La verdad que ya que hablais de vagos.... a mi pensar yo creo que la forma más sencilla de realizar el nat (y esto si es para vagos) es mediante la suse.

Yo utilizo desde hace quizas demasiado la suse 9.0 y mi p133 va que flipas para el routeo (o como pasarela mejor dicho), mi esperiencia me indica que lo más complicado de hecho es hacer la red interna (esto para los casos más simples que son los que se suelen buscar en el google y casi nunca se encuentran), y eso que dentro de este "esplendido p133", (es que le tengo mucho cariño), tengo además montado un DNS y todo lo que me puede hacer falta para aquello de ser un poco más veloces.
Los pasos a seguir en el caso de la Suse son...
Crear tu propia red. (10.1.1.1 o 192.168.1.1 etc) la mejor forma (o más facil) es con un hdcp (que te lo monta casi solo suse utilizando yast2, ya que empieza por instalarte dchpd) y marcar las maquinas que si quieres que tengan una dirección fija (todo esto incluso se tienen ejemplos dentro de la ayuda del suse). Despues de todo esto, indicamos en la configuración de las tarjetas de red por donde va a salir esta red privada asignando a la puerta de enlace (con ip fija) de la red creada, a una de estas tarjetas.
La otra que va internet que coja la ip de la forma más adecuada, o de la forma que sea necesaria. despues solo se tiene que ir a la pestaña de routernig y marcar la casilla de abajo de todo indicando que se acepte el ip_forward. ¿DIFICIL VERDAD?...
Pues lo más complicado viene despues cuando vuelves a yast2 y seleccionas seguridad, FIREWALL y los pasos son casi automaticos, indicando cual es l tarjeta de entrada, cual es la de salida, servicios y puertos que quieres tener activos, y poco más (en 4 pasos listo)....

¿A CASO ESTO NO ES PARA VAGOS?.. a ver quien lo vence...

 
106.  Re: iptables y NAT para vagos (02/11/2005 11:13, #29194)
  Por: Carajillo
Hola a tod@s: Estoy empezando a hacer cosillas con linux. Ya que estoy intentando instalar un programa en un servidor que va sobre linux. Mi problema es el siguiente: el programita utiliza un puerto (en este caso el 40005) para enviar y recibir datos. El servidor unicamente se utiliza para servir la página web por lo que tiene el puerto 80 abierto. He probado a utilizar el puerto 80 para mi programita y funciona correctamente, pero no puedo hacer que funcione en el puerto 40005. He probado algunos comandos que decis y no funciona. Alguien puede ayudarme? Gracias

 
107.  Re: iptables y NAT para vagos (13/12/2005 23:46, #30008)
  Por: Leia
hola, algun ejemplo concreto de iptables, lo mas urgente posible, es q tengo q rendir un final para la facultad y me cuesta entender las diferencias de cuando usar nat y cuando usar filter... HELP!!

 
108.  ROUTER Y SQUID (24/01/2006 17:38, #30664)
  Por: KDEJAIME
TENGO UN SERVER SQUID LA IP DE MI ROUTER INTERNA ES LA 192.168.10.1 MI SERVER SQUID ES LA IP 10 COMO HAGO PARA QUE LOS USUARIOS CUANDO PONGAN SU CLAVE Y USUARIO PARA ENTRAR A INTERNET SALGAN A TRAVEZ DE MI SQUID SE QUE LES PUEDO PONER LA IP DE MI SERVER Y EL PUERTO DE SALIDA EN EL IE6.0 O MOZILLA PERO NO LES DA LINEA DE INTERNET. CREO QUE TENGO QUE CONFIGURAR EN MI ROUTER UN REDIRECCIONAMIENTO A MI SQUID LA VERDAD NO ESTOY MUY SEGURO ALGUIEN PODRIA AYUDARME. SLDOS. JAIME

 
109.  Re: iptables y NAT para vagos (17/03/2006 17:27, #31482)
  Por: Carlos
La pregunta que yo hago : como hacer para que las iptables se carguen al inicio de la maquina cada vez que la reiniciamos Esto me esta matando lacabeza y les agradeceria si me pudieran ayudar Gracias desde ya

 
110.  Re: iptables y NAT para vagos (01/04/2006 04:18, #31707)
  Por: Anónimo
puedes introducir tu script en el fichero /etc/rc.local . Al final de este escribe: /opt/firewall.sh (suponiendo que tienes tu fichero en /opt/). Saludos

 
111.  Re: iptables y NAT para vagos (07/04/2006 01:52, #31834)
  Por: jose luis
hola en donde laboro trabajo con terminal server cuento con maquinas tontas y la pregunta es si ustedes saben que puedo usar para tener un chat interno; para todas mis terminal server con sistema operativo windows server 2003 enterprise

 
112.  Re: iptables y NAT para vagos (07/06/2006 13:58, #33015)
  Por: fachi (http://www.macrocomputacion.com.ar)
hola soy fachi... y tengo un problema..!!! yo en esta compu tengo internet... pero quiero compartir la coneccion.. para q se conecten a travez de esta compu!! osea.. me explico?? esta compu le llega inet a travez de una antena.. conectada a un acces point y baja como un cable de red y se enchufa a la ethernet...!! pero quiero q esta sea el servidor de las compus de mi red domestica.. (quiero darle inet a mis otras compus por cable UTP)!! el q tenga la solucion q agregue a fabianchu135@hotmail.com grax

 
113.  ssh-iptables (15/06/2006 03:23, #33194)
  Por: mario navarro
hola necisito informacion acerca de ssh-iptables , pork tengo q levantar esto en la consola, si alguien sabe algo o tine informacion acerca de este tema , poirfa deme una respuesta , ahi esta mi correo , es (marlitro@hotmail.com gracias

 
114.  Re: iptables y NAT para vagos (19/07/2006 20:18, #33824)
  Por: Anónimo
Al utilizar la siguiente regla recomenda en el articulo, no me redirecciona la consulta a la maquina 192.168.0.235 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.235:80 Aunque en la maquina 192.168.0.235 tengo un servidor apache configurado al puerto 80.

 
115.  Re: iptables y NAT para vagos (27/07/2006 00:50, #33980)
  Por: JHONNY
hola a todos tengo un problema tengo un equipo con linux con 3 tarjetas de red. en eth0 recivo la conexion adsl. en eth1 mi red lan 172.16.3.0/24 y en eth2 otra red 172.16.4.0/24 nesecito que en mi red 172.16.3.0/24 tenga acceso a mi internet y que desde la 172.16.4.0/24 accesen desde alla puedan hacer ping y adicionalmente nesecito tener acceso a un as/400, tengo el problema es que cunado activo eth2 piedo el acceso al internet ya que busca el servicio en eth2 por faVOR SI ALGUIEN ME PUEDE AYUDAR...

 
116.  Re: iptables y NAT para vagos (05/08/2006 22:14, #34181)
  Por: Ismael
buen dia a todos necesito ayuda mi correo es itoledo@len.com.mx.

Estoy tratando de colocar un proxy server y los pasos que hecho son los siguientes.

*Instale Red hat enterprise server ver. 4
*tengo dos tarjetas de red una para mi red local y la otra para mi conexion dsl infinitum de telmex.
*configure mi infinitum con adsl-setup pero cuando consulto el ruteo me manda a mi router dhcp 192.168.0.254 tengo que comentar las lineas y colocar mis dns en /etc/resolv.conf
#nameserver 200.33.168.193 y el 201 que son los que tiene telmex este problema se presenta cuando se reinicia el servidor ¿como le puedo hacer para que mis dns se queden fijos?
* por otro lado tengo corriendo el squid pero no tengo acceso a mis correos.
*otra mas y que no veo por donde empezar tengo varios equipos que se logean a un dominio, la configuracion que tengo es la siguiente.
mi servidor de dominio tiene la ip 192.168.0.3
mi equipo tiene 192.168.0.4
mi mask 255.255.255.o
mi puerta de enlace es el proxy linux 192.168.0.200

y cuando reinicio mi equipo no me puedo logear al dominio supongo que debe de ser por que debo de abri algun puerto me pueden ayudar gracias.

mi objetivo es colocar el proxy para administrar el servicio de internet, poder logearme en el dominio sin problemas, bloquear equipos para que no tengan ni internet ni hotmail, otros grupito con el puro correo, adicionalmente que se autentifiquen en el proxy.

actualmente tengo un router que hace todo esto pero la verdad esta muy limitado ese actualmente hace todo lo ya mencionado si alguien me puede ayudar les dejo mi correo electronico

Ismael Toledo itoledo@len.com.mx

 
117.  Re: iptables y NAT para vagos (18/08/2006 19:55, #34411)
  Por: Luis Siliezar
Disculpen, soy nuevo en el ambiente linux, quisiera saber si pueden ayudarme con la instalacion de un servidor Ubuntu que estoy configurando, llevo una semana tratando de levantar mi servidor con los siguiente servicios: 1. Squid en forma transparente a traves de mi firewall 2. Redirigir trafico hacia un servidor SQL server en la red interna. 3. Redirigir trafico hacia un terminal server conectado en la red interna. 4. Permitir que algunos clientes que utilizan clientes como Outlook Express y Outlook XP para correo tipo POP3 y SMTP puedan seguir recibiendo sus correos del exterior, asi como permitirles enviar correo a traves de estos. 5. Redirigir trafico externo de consulta hacia un servidor Web que maneja camaras de video en la red interna. La configuracion de mi servidor cuenta con 2 tarjetas una para la red externa a traves de una IP publica y otra para mi red interna. eth0 111.111.111.111 (ficticia) y eth1 192.168.10.0/24, la version de Ubuntu es la 5.10. Mis dudas radican en si tengo que instalar algo adicional al servidor porque mis primeras pruebas no me han funcionado trabajando con IPTABLES y SQUID. Si alguien puede ayudarme se lo voy a agradecer mucho ( talvez con algun script de ejemplo ). Gracias Luis Siliezar siliezarlu@yahoo.com Guatemala

 
118.  Re: iptables y NAT para vagos (24/08/2006 00:20, #34536)
  Por: Karlos251
Hola, soy nuevo en esto de linux, y me gustarita que alguien me dijera como configurar un firewall Red Hat Enterprice, ya que quiero hacerle movimientos para entenderle mejor, cualquier ayuda seria bien agradecida, tambien de iptables si se puede, mil gracias

 
119.  Re: iptables y NAT para vagos (09/12/2006 02:16, #37030)
  Por: Anònim
Buenas noches quisiera saber si alguien me puede ayudar, necesito que una de las maquinas de mi lan 192.168.1.x se conecte a un servidor remoto 172.x.x.x:8600, que regla debo poner en mi firewall para que esto funcione. Muchas Gracias

 
120.  VPN por Proxy (24/01/2007 23:03, #38040)
  Por: Juan Gomez
(maquina1)----------(ruteador2)------(ruteador1)----(squid)-------------------> internet
ip:172.19.3.61------172.19.3.1------172.19.0.1-----172.19.0.150:3128 --- 172.19.0.254
mask: 255.255.0.0 (maquina1)
gateway:172.19.3.1 (maquina1)
proxy:172.19.0.150:3128 (maquina1)

el servidor proxy es el 172.19.0.150

ip de a vpn a conectar es 200.20.23.1 al puerto 1723

ahora bien, mi configuracion de squid es la siguiente:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
#acl red_tez src 172.19.0.0/255.255.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
#acl Safe_ports port 631 # Impresora dell 1600n
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1723 # vpn OJO
acl CONNECT method CONNECT


######a esta es la que quiero que entre a vpn###

acl todo_acceso src 172.19.3.61 #OJO

#####

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow hostpermit password !noaccess !extentions
http_access allow todo_acceso # OJO



http_access deny all

####################################3

que es lo que debo de hacer para que desde esa maquina pueda hacer mi conexion a una vpn que esta en un lugar de internet----

 
121.  Re: VPN por Proxy (24/03/2007 00:46, #39236)
  Por: kendal
hola soi kendal itu dame tu msn ps tu nombre ps

 
GRACIAS
Distribuciones Universal
Por el servidor
Dpto. de Matematicas e Informatica
Calificacion
***0
Vots: 100
Danos tu opinion:
**** Excelente
***0 Muy Bueno
**00 Bueno
*000 Regular
0000 Malo
Relacionados
. Haciendo funcionar el Policy Routing junto a DNAT
. Access Point con PrismGT - ISL3890
. Compartir la conexión con un Cablemodem
. poptop: haciendo túneles VPN de Windows a Linux (o de Linux a Linux)
. 'I Jornadas de Software Libre' - Seguridad y Redes
. Logear Netfilter en una base de datos
. Conexión de una red a internet mediante Speed Touch USB ADSL
. Configurar un Proxy/Router/Gateway con el Kernel 2.4.x e Iptables
. Ferm: itpables para vagos
. Ponle un Firewall a tu Linux. Iptables.
. IPtables e IPchains
SECCIONES
Noticia
Breve
Truco
Enlace
Participa
Proyecto
Articulo
Webbulma
Manoletada :-)
Seguridad
Modificado: 15/4/2010 20:14:52 | Tiempo Total: 0.230 segs | Kernel: Linux - i686 - 2.6.26-1-686 | Last boot: 27/12/2009 22:08 CET
Powered by Apache    MySQL    PHP    Gimp