AYUDA CON IPTABLE POR FAVOR
Publicado por Marius (1 intervención) el 13/06/2006 02:25:12
hola estroy construyendo un script para iptables, el cual les pido vuestra ayuda, por que al leer diversos manuales y estar testeando el script, compruebo en una regla q no es del todo cierta o es que a lo mejor yo estoy totalmente equivocado y no se como arreglarlo; ante tdo voy a explicar lo que pretendo con el script:
- pretendo montar un cortafuegos con 3 tarjetas de rel, una que va hacia la conexion del router eth2, otra q va hacia la zona desmilitarizada(DMZ)eth1 y otra q va hcia lared local(ral) eth0.
ahora lo q pretendo conseguir es capar el acceso de la zona desmilitarizada (DMZ) hacia el firewall, (Y yo entiendo por esto q si hago esta denegacion de acceso al firewall, cuando quisiera hacer un ping desde la DMZ hacia el FIREWALL, no tendria poorq darme respuesta , y hago pin g y me da, bueno aqui os dejo es script); otro objetivo q si lo cumple a laperfeccion esq me permita el acceso desde la DMZ y la RAL hacia el exterior, pero repito eso si lo hace bien lo unico q me kedo pillao es en loq e comentado antes
script IPtables: (AYUDENME EXPERTOS)
#!/bin/sh
#eth2 interface externa
#eth0 interface local - RAL
#eth1 interface local - DMZ
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -s 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.2.0/24 -j DROP #con esto capo el acceso desde la ZONA DMZ hacia la RAL
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
#AKI RADICA MI PROBLEMA QUE AL PONER ESTA REGLA YO HAGO PIN DESDE LA DMZ Y SI ME DEJA HACER PING, CUANDO LO QUE YO LE ESTOY IMPIDIENDO EL ACCESO AL FIREWALL
iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT
#CON ESTA REGLA PERMITO Q DESDE LA RAL MANEJEMOS EL FIREWALL
iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -p tcp -j DROP
#CON ESTA CERRAMOS EL RESTO DE PUERTOS Q NO HEMOS ABIERTO ANTERIORMENTE EN LA RAL
- pretendo montar un cortafuegos con 3 tarjetas de rel, una que va hacia la conexion del router eth2, otra q va hacia la zona desmilitarizada(DMZ)eth1 y otra q va hcia lared local(ral) eth0.
ahora lo q pretendo conseguir es capar el acceso de la zona desmilitarizada (DMZ) hacia el firewall, (Y yo entiendo por esto q si hago esta denegacion de acceso al firewall, cuando quisiera hacer un ping desde la DMZ hacia el FIREWALL, no tendria poorq darme respuesta , y hago pin g y me da, bueno aqui os dejo es script); otro objetivo q si lo cumple a laperfeccion esq me permita el acceso desde la DMZ y la RAL hacia el exterior, pero repito eso si lo hace bien lo unico q me kedo pillao es en loq e comentado antes
script IPtables: (AYUDENME EXPERTOS)
#!/bin/sh
#eth2 interface externa
#eth0 interface local - RAL
#eth1 interface local - DMZ
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth2 -o eth0 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -s 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.2.0/24 -j DROP #con esto capo el acceso desde la ZONA DMZ hacia la RAL
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
#AKI RADICA MI PROBLEMA QUE AL PONER ESTA REGLA YO HAGO PIN DESDE LA DMZ Y SI ME DEJA HACER PING, CUANDO LO QUE YO LE ESTOY IMPIDIENDO EL ACCESO AL FIREWALL
iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT
#CON ESTA REGLA PERMITO Q DESDE LA RAL MANEJEMOS EL FIREWALL
iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -p tcp -j DROP
#CON ESTA CERRAMOS EL RESTO DE PUERTOS Q NO HEMOS ABIERTO ANTERIORMENTE EN LA RAL
Valora esta pregunta
0