Ayuda de Iptables

Ulises M. Alvarez uma en fata.unam.mx
Vie Dic 7 18:12:38 GMT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> ¡Hola!
> 
> Vamos a ver si comprendí tu petición, de acuerdo a:
> 
>>   
>> iptables -t nat -A POSTROUTING -s 10.35.126.96/27 -p tcp -m tcp \
>> --dport 80 -j SNAT --to-source 10.35.126.99
>>     
> Lo que entiendo es, ¿deseas enmascarar las peticiones para que que
> parezca que provienen de la IP 10.35.126.99 (eth1)?
> 
> Si es así, la regla quedaría:
> 
> iptables -t nat -A POSTROUTING -s 10.35.126.96/27 \
> -j SNAT --to-source 10.35.126.99
> 
> Saludos.
>>
> Gracias Ulises.
> Eso ya lo realiza. a ver si me explico mejor.
> colocas www.google.com, o cualquier web que quieras,  y te sale la web 
> por defecto del host 10.35.126.99.
> Hasta funciona correctamente.
> Ahora, quiero que, para ciertas ip's/nombre de hosts, si se permita el 
> acceso.
> Con la regla de postrouting creo que no hay problema, pero, 
> diseccionando un poco la de pre:

> iptables -t nat -A PREROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport 
> 80 -j DNAT --to-destination 10.35.126.99-10.35.126.99:80-80


> Corregirme si me equivoco,  todo lo que venga de la red 10.35.126.96/27, 
> y por el puerto 80, enviarlo al host 10.35.126.99, y aqui sale nuestra web.
> Yo necesito una execpción, por ip, a esta regla.
> he probado con:
> (todo lo que venga de la red 10.35.126.96/27, por el puerto 80, y el 
> destino sea 65.72.161.65, aceptar, o sea, no enviarlo a --to-destination 
> 10.35.126.99-10.35.126.99:80-80)

> iptables -t nat -A PREROUTING -s 10.35.126.96/27 -d 65.72.161.65 -p tcp -m tcp --dport 
> 80 -j DNAT ACCEPT

> Y no me funcionó, pero creo que la regla de postrouting no tengo que tocarla, aunque puede que me equivoque tambien.
> Gracias , y necesito la ayuda de verdad.

Humm... disculpa pero me sigue resultando difícil entender de forma
precisa lo que requieres. :-( Pero tratando de interpretar:

Lo que debes de tener presente es que el programa (script) se ejecuta de
arriba (primera línea) hacia abajo (última línea), y que una vez que una
regla se cumple ya no se aplica el resto. Entonces, (si lo que entendí
es correcto), si deseas que una computadora no vaya al equipo
10.35.126.99 y salga directamente a Internet, lo que tienes que hacer es
poner ANTES de llegar a:

> iptables -t nat -A PREROUTING -s 10.35.126.96/27 -p tcp -m tcp --dport
> 80 -j DNAT --to-destination 10.35.126.99-10.35.126.99:80-80

Una regla que quedaría más o menos como:

iptables -A FORWARD -p tcp -s IP_DEL_EQUIPO -i eth1 \
	-o eth0 --dport 80 --sport 1024:65535 \
	-m state --state NEW -j ACCEPT

Ahora, permíteme una pregunta: ¿por qué usas "...-j DNAT
- --to-destination 10.35.126.99-10.35.126.99:80-80"?

Yo pensaría que debería ser "...-j DNAT --to-destination 10.35.126.99:80"

Saludos.
- --
Ulises M. Alvarez.
Unidad de Gestión del Conocimiento e Innovación Tecnológica.
Centro de Física Aplicada y Tecnología Avanzada.
UNAM
http://sophie.fata.unam.mx/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHWY0WQLeMG7SzNAoRAqGiAKCiX4/AKozh8Y1Cv9m1RsCCB+scggCglL7K
/iepPve6yFUnuMqF0O4DUuQ=
=Ic4n
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución ubuntu-es