Autor
No logro comunicar mi red con el router ISP, por lo tanto no tengo navegación a Internet. El escenario que tengo es el siguiente:
Servidor con Firewall, DHCP (dnsmasq) y Squid (proxy web).
- eth0 --> con ip:192.168.1.1 conectada al router ISP (192.168.1.254).
- eth1 --> con ip: 10.0.1.1 conectada al switch (red lan).
- todo pasa por este server.
- el Router esta fuera del alcance (de forma directa) ya que los paquetes pasan por el server.
- hasta ahorita NO consigo navegacion en internet.
- para lograr navegar debo poner un cable del el router al switch, pero esto no es optimo no lo que quiero, ya que algun listo puede colocarse un IP estatico con Gateway 192.168.1.254 y se brincaria mi proxy web (squid).
Y la configuración (reglas) de mi firewall son:
Código:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# politicas por defecto
iptables -P INPUT ACCEPT # aceptamos entradas
iptables -P OUTPUT ACCEPT # aceptamos salidas
iptables -P FORWARD ACCEPT # aceptamos reenvios
iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera
iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia dentro
echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de reenvios
iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT # ftp y ssh
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # https
iptables -A INPUT -p tcp --dport 53 -j ACCEPT # dns - dhcp
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk
iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
# forwardnig
iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT # ftp y ssh
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT # dns - dhcp
iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT # dns -dhcp (udp)
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT # http
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT # https
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT # portmapper/rpcbind
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT # samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT # samba
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT # squid
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT # squid cache
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT # nfs
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT # asterisk
iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT # webmind para LAN
iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT
# enmascaramiento
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to 192.168.1.1
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE # todo lo que salga de la red, se enmascara
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -s 10.0.1.0/24 -j REDIRECT --to-port 3128
# denegaciones
iptables -A INPUT -p tcp --dport 1000 -j DROP # denegar webmind
iptables -A INPUT -p tcp --dport 1:1024 -j DROP # cerrar puertos privados
iptables -A FORWARD -p tcp --dport 1000 -j DROP # denegar webmind
iptables -A FORWARD -j DROP # degenamos lo demas
En línea
