Hay algo que yo a veces cuestiono. Si tienes un SQUID no considero necesario tanta reglas, salvo que tu servidor de Correo este fuera de tu red.
Yo haría algo así: #Si mi mail esta fuera de mi red iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i mail.dominio.com--dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -p tcp -i mail.dominio.com --dport 110 -j MASQUERADE # Esto para tirar todo al squid iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 1:65000 -j REDIRECT --to-port 3128 # Y por ultimo REJECT a todos iptables -A INPUT -s 10.0.1.0/24 -p all -j REJECT Lo demás lo veo bien. El 17 de septiembre de 2013 12:34, angel jauregui <[email protected]>escribió: > Gracias David por tu atencion... > > El Servidor Web lo tengo en el segmento 10.0.1.0/24 tras el switch, los > paquetes que entren y salgan pasan por la eth1 del Servidor Principal > (firewall) y son enmascarados por la eth0 (en donde esta el segmento > 192.168.1.0/24). > > Te pongo mis reglas para ver si por favor me brindas tu opinion: > > Servidor Principal. > eth0 --> ip:192.168.1.1 va al router ISP (ip:192.168.1.254). > eth1 --> ip:10.0.1.1 va al switch (red lan). > * los externos (internet) solo ven y acceden al http, ftp y ssh. > > ## FIREWALL > > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > # politicas por defecto > iptables -P INPUT ACCEPT # aceptamos entradas > iptables -P OUTPUT ACCEPT # aceptamos salidas > iptables -P FORWARD ACCEPT # aceptamos reenvios > iptables -t nat -P PREROUTING ACCEPT # aceptamos nat hacia fuera > iptables -t nat -P POSTROUTING ACCEPT # aceptamos nat hacia > dentro > echo 1 > /proc/sys/net/ipv4/ip_forward # habilitamos BIT de > reenvios > > iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo > iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT > iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT > # ftp y ssh > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > # http > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > # https > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT > # dns - dhcp > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > # portmapper/rpcbind > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT > # samba > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > # samba > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > # squid > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > # squid cache > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > # nfs > iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT > # webmind > > # forwardnig > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 20:22 -j ACCEPT > # ftp y ssh > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT > # dns - dhcp > iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT > # dns -dhcp (udp) > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT > # http > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT > # https > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT > # portmapper/rpcbind > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j > ACCEPT > # samba > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT > # samba > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT > # squid > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT > # squid cache > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT > # nfs > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT > # asterisk > iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT > # webmind para LAN > > iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT # > de un sgemento a otro > iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT # > viceversa > > # enmascaramiento > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to > 192.168.1.1 # enmascaramos hacia 192.168.1.2 > iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j > MASQUERADE > # todo lo que salga de la red, se enmascara > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT > --to 192.168.1.1:3128 # squid > > > # denegaciones > iptables -A INPUT -p tcp --dport 1000 -j DROP > # denegar webmind externos > iptables -A INPUT -p tcp --dport 1:1024 -j DROP > # cerrar puertos privados > iptables -A FORWARD -p tcp --dport 1000 -j DROP > # denegar webmind reenvios externos > #iptables -A FORWARD -j DROP > > Saludos ! > > > El 17 de septiembre de 2013 10:52, David González Romero < > [email protected]> escribió: > > > Bueno con Bind puedes tener un completo DNS si lo configuras bien. Lo > otro > > es, esos server de IP fija son de tu red?? > > > > Si son de tu red, no necesitas usar más /etc/hosts sino más bien > habilitar > > el Forward entre tarjetas de red, para que la tarjeta LAN de tu server > > pueda ver a los IP de tus server que seguron están en el segmento ISP. De > > cualquier forma siempre es bueno hacer cambios para sistemas mas > robustos y > > bind y dhcpd lo son, al menos para mi. > > > > Saludos, > > David > > > > > > El 17 de septiembre de 2013 11:45, angel jauregui > > <[email protected]>escribió: > > > > > Pues resulta que tengo que usar /etc/hosts para establecer el "ip > > > nombre.dominio nombre" para ciertos servidores con IP fija que usan > > > "etherchannel", en este casi el Servidor Principal (que tiene el > > Firewall, > > > Dnsmasq y Squid) mantiene 2 tarjetas de red: una conectada al router > ISP > > y > > > otra al Switch (lan). > > > > > > Ciertos servicios mediante IP Tables los resuelvo localmente en el > server > > > principal, otros solo los reenvio a otro server interno, a fin de > cuentas > > > note que si no especificaba en el /etc/hosts del server principal, no > > > entraban en la URL las paginas :S !.... > > > > > > El detalle es que entre el Router ISP y la eth0 del Server principal se > > > maneja un segmento de red 192.168.1.0/24 y entre la eth1 y la LAN el > > > segmento: 10.0.1.0/24. > > > > > > Vaya, de estarle moviendo al /etc/hosts, prefiero mejor hacer la zona > con > > > BIND, a fin de cuenta en un futuro usare registros TXT para configurar > > SPF > > > v1 y v2. > > > > > > Saludos ! > > > > > > Saludos ! > > > > > > > > > El 17 de septiembre de 2013 10:38, David González Romero < > > > [email protected]> escribió: > > > > > > > Y donde entre bind en el esa lista de deseos tuyos?? > > > > > > > > Saludos, > > > > David > > > > > > > > > > > > El 17 de septiembre de 2013 11:18, angel jauregui > > > > <[email protected]>escribió: > > > > > > > > > David gracias por responder. > > > > > > > > > > Me gustaria mas la opcion bind+dhcpd, pero sobre dnsmasq no se que > > mas > > > > > virtudes pueda exploarle, las que uso son solo: > > > > > > > > > > * asignar IPs al rango que quiero. > > > > > * asignar IPs reservadas a ciertas MACs > > > > > * establecer el pxeboot para instalacion de imagenes por red. > > > > > > > > > > Saludos ! > > > > > > > > > > > > > > > El 17 de septiembre de 2013 08:02, David González Romero < > > > > > [email protected]> escribió: > > > > > > > > > > > Porque no reemplazas dnsmasq por la combinacion bind+dhcpd o en > > todo > > > > > caso, > > > > > > porque no usar dnsmasq con todas sus virtudes? > > > > > > > > > > > > Saludos, > > > > > > David > > > > > > > > > > > > > > > > > > El 16 de septiembre de 2013 18:46, angel jauregui > > > > > > <[email protected]>escribió: > > > > > > > > > > > > > Buenas. > > > > > > > > > > > > > > Tengo dos servidores de los cuales el principal, el que atiende > > > toda > > > > la > > > > > > red > > > > > > > y tiene el firewall me gustaría ponerle BIND (dns), pero > > > actualmente > > > > > este > > > > > > > también asigna IPs con "dnsmasq". > > > > > > > > > > > > > > Intente instalar BIND pero existen conflictos debido a que > > > "dnsmasq" > > > > > > ocupa > > > > > > > el mismo puerto que intenta usar BIND. > > > > > > > > > > > > > > Les paso el esquema: > > > > > > > > > > > > > > ## Router ISP > > > > > > > IP: 192.168.1.254 > > > > > > > DHCP: Relay (192.168.1.1). > > > > > > > > > > > > > > ## Servidor 1 > > > > > > > IP eth0: 192.168.1.1 > > > > > > > IP eth1: 10.0.1.1 > > > > > > > GW: 192.168.1.254 > > > > > > > Servicios: Firewall, DHCP (dnsmasq), NFS y SAMBA. > > > > > > > > > > > > > > ## Servidor 2 > > > > > > > IP: 10.0.1.2 > > > > > > > Servicios: Http (apache), MySQL y Postfix. > > > > > > > > > > > > > > Saludos ! > > > > > > > > > > > > > > -- > > > > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > > > > E-Mail: [email protected] > > > > > > > Web: http://www.sie-group.net/ > > > > > > > Cd. Reynosa Tamaulipas. > > > > > > > _______________________________________________ > > > > > > > CentOS-es mailing list > > > > > > > [email protected] > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > _______________________________________________ > > > > > > CentOS-es mailing list > > > > > > [email protected] > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > > E-Mail: [email protected] > > > > > Web: http://www.sie-group.net/ > > > > > Cd. Reynosa Tamaulipas. > > > > > _______________________________________________ > > > > > CentOS-es mailing list > > > > > [email protected] > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > [email protected] > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > -- > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > Celular: (011-52-1)-899-871-17-22 > > > E-Mail: [email protected] > > > Web: http://www.sie-group.net/ > > > Cd. Reynosa Tamaulipas. > > > _______________________________________________ > > > CentOS-es mailing list > > > [email protected] > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ > > CentOS-es mailing list > > [email protected] > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: [email protected] > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
