AYUDARME CON IPTABLES POR favor

mariuslinu · #1 (**permalink**) 12/06/2006, 18:34

hola estroy construyendo un script para iptables, el cual les pido vuestra ayuda, por que al leer diversos manuales y estar testeando el script, compruebo en una regla q no es del todo cierta o es que a lo mejor yo estoy totalmente equivocado y no se como arreglarlo; ante tdo voy a explicar lo que pretendo con el script:

- pretendo montar un cortafuegos con 3 tarjetas de rel, una que va hacia la conexion del router eth2, otra q va hacia la zona desmilitarizada(DMZ)eth1 y otra q va hcia lared local(ral) eth0.

ahora lo q pretendo conseguir es capar el acceso de la zona desmilitarizada (DMZ) hacia el firewall, (Y yo entiendo por esto q si hago esta denegacion de acceso al firewall, cuando quisiera hacer un ping desde la DMZ hacia el FIREWALL, no tendria poorq darme respuesta , y hago pin g y me da, bueno aqui os dejo es script); otro objetivo q si lo cumple a laperfeccion esq me permita el acceso desde la DMZ y la RAL hacia el exterior, pero repito eso si lo hace bien lo unico q me kedo pillao es en loq e comentado antes

script IPtables: (AYUDENME EXPERTOS)

#!/bin/sh

#eth2 interface externa

#eth0 interface local - RAL

#eth1 interface local - DMZ

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth2 -j MASQUERADE

iptables -A FORWARD -i eth2 -o eth0 -d 192.168.2.0/24 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth2 -s 192.168.2.0/24 -j ACCEPT

iptables -A FORWARD -i eth2 -o eth1 -d 192.168.3.0/24 -j ACCEPT

iptables -A FORWARD -i eth1 -o eth2 -s 192.168.3.0/24 -j ACCEPT

iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.2.0/24 -j DROP #con esto capo el acceso desde la ZONA DMZ hacia la RAL

iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
#AKI RADICA MI PROBLEMA QUE AL PONER ESTA REGLA YO HAGO PIN DESDE LA DMZ Y SI ME DEJA HACER PING, CUANDO LO QUE YO LE ESTOY IMPIDIENDO EL ACCESO AL FIREWALL

iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT

#CON ESTA REGLA PERMITO Q DESDE LA RAL MANEJEMOS EL FIREWALL

iptables -A FORWARD -s 192.168.2.0/255.255.255.0 -p tcp -j DROP
#CON ESTA CERRAMOS EL RESTO DE PUERTOS Q NO HEMOS ABIERTO ANTERIORMENTE EN LA RAL

sserrano · #2 (**permalink**) 13/06/2006, 19:43

¿Podrías adjuntar el resultado de los siguientes comandos?

iptables -L -v -x
iptables -t nat -L -v -x
iptables -t mangle -L -v -x

De todas formas si no tienes mucha experiencia con iptables te recomiendo el fwbuilder, ya que es facil de usar, gpl y tiene un template muy parecido a lo que quieres hacer.

También puedes leer los howto de la página de netfilter.

Saludos y suerte!!