Ayuda de Iptables

Ulises M. Alvarez uma en fata.unam.mx
Vie Dic 7 17:59:44 GMT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>> He probado varias cosas, que fuí encontrando en google, tutorials, me 
>> leí las man de iptables 5 mil veces, pero no doy con ello.
>> Por fa, necesito una mano, mi ultimo intento fue:
>> //iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -d 69.72.161.58 -j 
>> SNAT --to-source 10.35.126.99
>> //iptables -A INPUT -p TCP -m state --state related -j ACCEPT
>> y tampoco lo conseguí..........
> [...]
> 
> Creo que no entiendo bien qué es lo que pretendes. Si lo que necesitas
> es "abrir un puerto" hacia un equipo en concreto no necesitas tanta
> cosa. Debería de ser suficiente con un PREROUTING con DNAT al equipo que
> deseas. Este recibe la petición y responde a la IP original que realiza
> la petición. Adicionalmente, como planteas en la última linea, es
> posible que necesites autorizar el paso de conexiones en estado
> ESTABLISHED más que RELATED y tambien la entrada de la pedicion original
> con un ACCEPT para el puerto 80 TCP de la IP del router que recibe la
> petición.

Hola:

Cuidado con esto:

> Adicionalmente, como planteas en la última linea, es
> posible que necesites autorizar el paso de conexiones en estado
> ESTABLISHED más que RELATED y tambien la entrada de la pedicion
> original con un ACCEPT para el puerto 80 TCP de la IP del router que
> recibe la petición.

La política de entrada (INPUT) del equipo que funciona como
firewall/direccionador NO debe incluir puertos que no corran en el
equipo. Este tipo de peticiones deben estar en la política de
redireccionamiento (FORWARD). Por ejemplo, si se va a realizar
administración remota en el firewall usando ssh desde la red segura:

iptables -A INPUT -p tcp -i eth1 --dport 22 \
	-m state --state NEW -j ACCEPT

Pero, si se se desea que los equipos de la red segura "naveguen" (HTTP)
sería:

iptables -A FORWARD -p tcp -s 10.35.126.96/27 -i eth1 -o eth0 \
	--dport 80 -m state --state NEW -j ACCEPT

Nota: Estoy usando los valores que proporciona tuthotep para los ejemplos.
- --
Ulises M. Alvarez.
Unidad de Gestión del Conocimiento e Innovación Tecnológica.
Centro de Física Aplicada y Tecnología Avanzada.
UNAM
http://sophie.fata.unam.mx/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHWYoPQLeMG7SzNAoRAiQNAJ9wZ7y32IVhIR+21HirstcP2lkGjwCg17v3
3a+6Dn+f4gQPUrqF17a6p6o=
=lC4/
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución ubuntu-es