[ubuntu-ar] Ayuda con Iptables
Mariano Absatz
el.baby at gmail.com
Thu Sep 3 21:53:52 BST 2009
2009/9/3 Claudio Marcial Peon <cmarcial at gmail.com>:
> Buenas tardes gente. Estoy teniendo un pequeño problema con mi script
> de Iptables en mi gateway hogareño.
> Resulta que se me ocurrio hacer portforward de los puertos 2234 al 2239
> hacia mi Laptop, para de esta manera usar el transmission. agregue las
> siguientes lineas :
>
> iptables -t nat -A PREROUTING -p tcp --dport 2234:2239 -j DNAT
> --to-destination 172.25.50.252
>
> iptables -A FORWARD -s 172.25.50.252 -p tcp --dport 2234:2239 -j ACCEPT
>
> Siendo mi PC 172.25.50.252, reconozco que como la mayoria de mi script
> de IPtables, las lineas de arriba son sacadas de la red.
>
> La cosa es que no funciona, en las opciones del transmission me da
> cerrado, y probe cambiando el demonio ssh a esos puertos y tratar de
> alcanzarlo desde la internet y efectivamente no responde.
> Si alguien me puede ayudar en esto lo agradeceria muchisimo.
> Adjunto el archivo de iptables completo para ver si hay algo en el que
> esta interfiriendo con el forward, aclaro que todo lo demas anda perfecto.
>
> Saludos!
>
>
> # Internet
> INTERNET="eth0"
>
> # LAN
> LAN_IN="eth1"
>
> # Puerto squid
> SQUID_PORT="3128"
>
> # Limpio Firewall Viejo
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
> iptables -t mangle -F
> iptables -t mangle -X
>
> # Cargo los modulos de IPTABLES para NAT e IP conntrack
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
>
> # Clientes XP para FTP
> modprobe ip_nat_ftp
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # Filtro por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
>
> # local puede todo
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Permitir UDP, DNS y FTP pasivo
> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # seteo como router
> iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
> iptables --append FORWARD --in-interface eth1 -j ACCEPT
>
> # Acceso ilimitado desde la lan
> iptables -A INPUT -i eth1 -j ACCEPT
> iptables -A OUTPUT -o eth1 -j ACCEPT
>
> #iptables -A INPUT -i eth0 -p tcp --dport 8180 -j ACCEPT
>
> #Puertos del Amule
> iptables -A INPUT -i eth0 -p tcp --dport 4662 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 4672 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 4665 -j ACCEPT
>
> # Puertos locales de torrent
> iptables -A INPUT -i eth0 -p tcp --dport 49160:49300 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 49160:49300 -j ACCEPT
>
> #Forward para torrent en laptop
>
> iptables -t nat -A PREROUTING -p tcp --dport 2234:2239 -j DNAT --to-destination 172.25.50.252
>
> iptables -A FORWARD -s 172.25.50.252 -p tcp --dport 2234:2239 -j ACCEPT
>
> # Proxy transparente
>
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s 172.25.50.0/24 -j DNAT --to 172.25.50.15:3128
>
> # si es el del mismo sistema
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -s 172.25.50.0/24 -j REDIRECT --to-port 3128
>
> # tirar todo lo demas y loguear
> iptables -A INPUT -j LOG
> iptables -A INPUT -j DROP
>
>
Claudio,
yo hace un tiempo largo que abandoné la escritura manual de netfilter
usando iptables a lo macho... estoy hablando de memoria remota pero...
¿no necesitás hacer un ACCEPT en FORWARD además del DNAT?
Si sos como yo y te ponen nervioso las GUIs pero te agota y marea el
ipatbles a lo macho, te recomiendo el shorewall [1]. Se configura con
archivos de texto muy claros en el directorio /etc/shorewall (una vez
que entendés la ideología) y las reglas que genera de iptables son
perfectamente legibles (cuando algo no anda "iptables -L -v" -ahora
también conocido como "shorewall show"- se puede leer).
Te recomiendo NO usar los paquetes de ubuntu que siempre están medio
desactualizados... bajate la última estable (el paquete "common" y el
paquete "perl") y seguí las instrucciones.
Hay buena documentación en la página [2], incluyendo unas guías para
principiantes [3] con todo lo que necesitás para salir andando...
Si tenés tiempo de leer aunque sea las guías para principantes, te lo
recomiendo... a mí me cambió de "copiar el último que me anduvo y
tratar de adaptarlo" a poder pensar claramente qué quiero de mi
firewall e implementarlo.
[1] http://www.shorewall.net
[2] http://www.shorewall.net/Documentation_Index.html
[3] http://www.shorewall.net/GettingStarted.html
--
Mariano Absatz - El Baby
www.clueless.com.ar
More information about the Ubuntu-ar
mailing list