Tema: configurar iptables
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 23/06/2015, 06:11
guelmissa
 
Fecha de Ingreso: junio-2015
Mensajes: 2
Antigüedad: 8 años, 10 meses
Puntos: 0
Respuesta: configurar iptables
hermano te esplico tengo 4 servidores independientes,
1- tiene instalado iptable con sus reaglas q acontinuacion publicare,
1- tiene instalado el dns(bind) con sus dos vistas que funciona bien,
1- tiene istalado el correo que funciona bien tambien y
1- con squid,
ahora mano lo que me sucede es que no se como crear las reglas de iptables para que estos servidores me trabajen a traves de firewall para q mi red local pueda nevegar con squid y los correos me salgan por que el iptables me los entrega a mi pero no me los deja salir por que no me sale en dns para afuera del firewall.


#!/bin/sh
# SCRIPT de IPTABLES
# Politica por defecto: DROP

### BEGIN INIT INFO
# Provides: firewall.sh
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO

#insserv firewall.sh
#ls /etc/rc* | grep firewall.sh
#netstat -lntp | grep LISTEN

clear
echo "Aplicando Reglas de Firewall..."

#=================#
# FLUSH DE REGLAS #
#=================#
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#=========================================#
# ESTABLECEMOS POLITICA POR DEFECTO: DROP #
#=========================================#
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#=========================================#
# PERMITIMOS TODO DESDE Y HACIA LOCALHOST #
#=========================================#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#================================#
# ACTIVAMOS EL BIT DE FORWARDING #
#================================#
echo 1 > /proc/sys/net/ipv4/ip_forward


#==============================================#
# DNAT SMTP DESDE LA RED-WAN HACIA MAIL-SERVER #
#==============================================#
iptables -t nat -A PREROUTING -d 200.55.183.218 -p tcp --dport 25 -j DNAT --to 192.168.3.60
#
iptables -A FORWARD -m state --state NEW,ESTABLISHED -i eth2 -s 0.0.0.0/0 -o eth1 -d 192.168.3.60 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -m state --state NEW,ESTABLISHED -o eth2 -d 0.0.0.0/0 -i eth1 -s 192.168.3.60 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp -m udp -o eth2 -d 0.0.0.0/0 -i eth1 -s 192.168.3.60 --dport 53 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#==============================================#
# DNAT SMTP DESDE LA RED-WAN HACIA CHAT-SERVER #
#==============================================#
iptables -t nat -A PREROUTING -d 200.55.183.218 -p tcp --dport 5269 -j DNAT --to 192.168.3.60 LOG --log-prefix "IPTables: " --log-level 4
iptables -t nat -A PREROUTING -d 200.55.183.218 -p tcp --dport 5222 -j DNAT --to 192.168.3.60 LOG --log-prefix "IPTables: " --log-level 4
#
iptables -A FORWARD -m state --state NEW,ESTABLISHED -i eth2 -s 0.0.0.0/0 -o eth1 -d 192.168.3.60 -p tcp --dport 5269 -j ACCEPT LOG --log-prefix "IPTables: " --log-level 4
iptables -A FORWARD -m state --state NEW,ESTABLISHED -o eth2 -d 0.0.0.0/0 -i eth1 -s 192.168.3.60 -p tcp --dport 5269 -j ACCEPT LOG
iptables -A FORWARD -m state --state NEW,ESTABLISHED -i eth2 -s 0.0.0.0/0 -o eth1 -d 192.168.3.60 -p tcp --dport 5222 -j ACCEPT LOG
iptables -A FORWARD -m state --state NEW,ESTABLISHED -o eth2 -d 0.0.0.0/0 -i eth1 -s 192.168.3.60 -p tcp --dport 5222 -j ACCEPT
iptables -A FORWARD -p udp -m udp -o eth2 -d 0.0.0.0/0 -i eth1 -s 192.168.3.60 --dport 53 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#================================================= =#
# PERMITIMOS ENTRADAS AL FIREWALL DESDE LA RED-LAN #
#================================================= =#
iptables -A INPUT -i eth1 -s 192.168.3.0/24 -d 192.168.3.2 -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.3.0/24 -s 192.168.3.2 -j ACCEPT

#================================================= =#
# PERMITIMOS SALIDAS DEL FIREWALL HACIA LA RED-LAN #
#================================================= =#
iptables -A OUTPUT -o eth1 -d 0.0.0.0/0 -s 192.168.3.2 -j ACCEPT
iptables -A INPUT -i eth1 -s 0.0.0.0/0 -d 192.168.3.2 -j ACCEPT

#================================================= =#
# PERMITIMOS SALIDAS DEL FIREWALL HACIA LA RED-WAN #
#================================================= =#
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -o eth2 -d 0.0.0.0/0 -s 200.55.183.218 -j ACCEPT

echo "REGLAS APLICADAS"
echo "----------------"
iptables -L -n
echo "----------------"

# Fin del script