[equinux] Presentacion y Pregunta
Gabriel Hoyos
ifernando1976 en gmail.com
Lun Mayo 8 14:01:48 EDT 2006
Que tal amigos....
Mi nombre es Gabriel Fernando Hoyos estudio ing de Sistemas y me ha gustado
el Mundo Linux... y la verdad me ciento agradecido por que ustedes me
aceptaran en esta lista....
Para empesar soy nuevo en el mundo linux pero mi intencion es aprender
muchismo con ustedes... y asi de igual forma en lo que yo pueda tambien
colaborare....
En este momento tengo un problema en el montaje de un servidor
cortafuejo..... explico el problema...
En una empresa configure el cortafuego con linux mediante las reglas
ipables.. monte un proxy tambien en ese mismo servidor...
El servidor linux tiene dos tarjetas de Red eth0 y eth1.... eth0 es la
tarjeta por donde recive el internet y eth1 es por donde administra la red
LAN... dentro de la red LAN hay un equipo que tiene SO Windows 2000
server... ese equipo admisnitra el servidor vpn con una series de
servicios....
Lo que queremos esque desde afuera los equipos accedan por VPN pero no me
acceden, el cortafuego de linux no me esta redireccionado hacia el equipo
windows.. he tratado pero no he podido.. el equipo windows accede a internet
mediante internet compartida por reglas iptables La configuracion es la
siguiente:
EQUIPO WINDOWS...
IP 192.168.100.5
MASK 255.255.255.0
PTA 192.168.100.3-----------> LA PTA DE ENLACE ES LA IP DEL EQUIPO LINUX
DNS 200.75.49.132
200.19.66.2
ACLARO QUE EL EQUIPO WINDOWS ACCEDE HA INTERNET MEDIANTE EL SERVIDOR LINUX..
La IP publica la tiene el equipo linux donde esta montado cortafuego...
sin envargo doy a conocer el escrip que tengo para configuracion que se hiso
pero no me esta funcionado apara acceder por vpn al equipo windows... no se
si esta mal...
--------------SCRIPT PARA EL MONTAJE DE UN CORTAFUEGO
#! /bin/bash
## con servicios abiertos de puerto 25, 110, y 1723
## Pello Xabier Altadill Izura
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT
## Abrimos el acceso a puertos de correo
# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
# Abrimos el pop3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
# Y abrimos el puerto pptpd para la ip del adsl de casa del jefe
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 5800 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 47 -j ACCEPT
# redireccionamos puerto 1723 para vpn
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to
192.168.100.5:1723
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to
192.168.100.5:5900
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5800 -j DNAT --to
192.168.100.5:5800
# redireccionamos puerto 47 para vpn
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 47 -j DNAT --to
192.168.100.5:47
## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van dirigidos
al
## propio firewall se les aplican reglas de FORWARD
# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# Y denegamos el resto. Si se necesita alguno, ya avisaran
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -j DROP
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1:21 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 23:1024 -j DROP
# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 10000 -j DROP
# Y cerramos el puerto del servicio PPTPD, solo abierto para el jefe.
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1723 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
-------BUENO DE ANTEMANO AGRADEZCO SI ME PUEDEN AYUDAR HE TRATADO POR TODOS
LOS LADOS PERO NO ME HA FUNCIONADO PARA REDIRECCIONARLO AL EQUIPO WINDOWS...
ES QUE NI SIQUIERA ME FUNCIONA EL VNC
AGREDEZCO SU ATENCION....
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://nuevared.org/pipermail/equinux_nuevared.org/attachments/20060508/73222141/attachment.htm
Más información sobre la lista de distribución equinux