Ayuda de Iptables

daniel daniel en dpinformatica.es
Vie Dic 7 10:26:26 GMT 2007 

O Lun, 03-12-2007 ás 00:54 +0100, Tuthotep-El Negro escribiu:
> Buenas gente:
> 
[...]
> Tengo una maquina que comparte dos redes y es un firewall;  Uso 
> Firestarter, con retoques a mano.  Toda petición http, la re-envia a un 
> web de la máquina 10.35.126.99. He permitido conexiones a un par de 
> direcciones con otros puertos, y todo ok.
> 
> Pero  al hacerlo con el puerto 80 (http), las dos lineas - una en 
> user-pre y otra en user-post de firestarter - que re-envian las 
> peticiones http:
> 
> iptables -t nat -A PREROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport 
> 80 -j DNAT --to-destination 10.35.126.99-10.35.126.99:80-80
> iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport 
> 80 -j SNAT --to-source 10.35.126.99
> 

Me cuesta entender qué quieres hacer. Por la primera de las lineas
anteriores entiendo que pretendes enviar todo el tráfico http que llega
desde una subred determinada a un servidor web en concreto dentro de esa
misma red. La segunda no entiendo qué es lo que pretende. Hace que ese
mismo tráfico pase a tener como direccion de origen un equipo en
concreto, con lo que las respuestas del servidor web serán entregadas a
este en lugar de al equipo origen, impidiendo el correcto
funcionamiento. ¿Me estoy perdiendo algo o no tiene demasiado sentido?.

> 
> siguen funcionando;  O sea, necesito una execpción a ciertas ip's, para 
> las dos reglas mencionadas antes.

¿Qué sigue funcionando?

> He probado varias cosas, que fuí encontrando en google, tutorials, me 
> leí las man de iptables 5 mil veces, pero no doy con ello.
> Por fa, necesito una mano, mi ultimo intento fue:
> //iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -d 69.72.161.58 -j 
> SNAT --to-source 10.35.126.99
> //iptables -A INPUT -p TCP -m state --state related -j ACCEPT
> y tampoco lo conseguí..........
[...]

Creo que no entiendo bien qué es lo que pretendes. Si lo que necesitas
es "abrir un puerto" hacia un equipo en concreto no necesitas tanta
cosa. Debería de ser suficiente con un PREROUTING con DNAT al equipo que
deseas. Este recibe la petición y responde a la IP original que realiza
la petición. Adicionalmente, como planteas en la última linea, es
posible que necesites autorizar el paso de conexiones en estado
ESTABLISHED más que RELATED y tambien la entrada de la pedicion original
con un ACCEPT para el puerto 80 TCP de la IP del router que recibe la
petición.

-- 
Daniel Bañobre Dopico   _o)
GNU/Linux num. 416887   /\\
http://counter.li.org   \_V
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: =?ISO-8859-1?Q?Esta=B7=E9=B7unha=B7parte=B7d?=
	=?ISO-8859-1?Q?e=B7mensaxe=B7asinada=B7dix?= =?ISO-8859-1?Q?italmente?=
Url        : https://lists.ubuntu.com/archives/ubuntu-es/attachments/20071207/16e9948a/attachment-0001.pgp

Más información sobre la lista de distribución ubuntu-es