Ahora una pregunta 172.x es un interfase virtual de 192.x?? En todo caso debería funcionar lo siguiente
iptables -A INPUT -i eth0 -d 192.x.x.x -s 0/0 -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 172.x.x.x -p all -j ACCEPT iptables -A INPUT -i eth0 -d 172.x.x.x -s 0/0 -p all -j REJECT Al final todo va a entrar por eth0, ya que eth0:1 seria solo una vitualización y no hay impedimento de ruteo entre ambas interfaces, ya que por hardware lo tiene seguro, entonces tendrás que hacerlo por rutas o por iptables Saludos, David El 29 de septiembre de 2013 02:47, Normando Hall <[email protected]>escribió: > Lamentablemente no funciona ya que puedo seguir pingueando desde una IP > externa NO comprendida dentro de 172.xxx.... > > Esta es la configuración que tengo en iptables con las reglas que me has > pasado. > > iptables -nvL > Chain INPUT (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in out source > destination > 60M 29G ACCEPT all -- * * 0.0.0.0/0 > 0.0.0.0/0 state RELATED,ESTABLISHED > 120 5569 ACCEPT icmp -- * * 0.0.0.0/0 > 0.0.0.0/0 > 3307 198K ACCEPT all -- lo * 0.0.0.0/0 > 0.0.0.0/0 > 0 0 ACCEPT ah -- * * 0.0.0.0/0 > 0.0.0.0/0 > 3 336 ACCEPT esp -- * * 0.0.0.0/0 > 0.0.0.0/0 > 4095 190K REJECT all -- * * 0.0.0.0/0 > 0.0.0.0/0 reject-with icmp-host-prohibited > 0 0 ACCEPT all -- eth0:2 * 172.16.0.0/20 > 0.0.0.0/0 > 0 0 REJECT all -- eth0:2 * 0.0.0.0/0 > 0.0.0.0/0 reject-with icmp-port-unreachable > > Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in out source > destination > 0 0 ACCEPT all -- eth0 * 172.16.0.0/20 > 190.xxx.xxx.xx policy match dir in pol ipsec reqid 3 proto 50 > 0 0 ACCEPT all -- * eth0 190.xxx.xxx.xx > 172.16.0.0/20 policy match dir out pol ipsec reqid 3 proto 50 > 0 0 REJECT all -- * * 0.0.0.0/0 > 0.0.0.0/0 reject-with icmp-host-prohibited > > Chain OUTPUT (policy ACCEPT 3093 packets, 2092K bytes) > pkts bytes target prot opt in out source > destination > > > > > El 10/09/2013 06:04 p.m., Normando Hall escribió: > > Muchas gracias. Probaremos entonces y te comento. > > > > Saludos > > > > El 10/09/2013 05:59 p.m., David González Romero escribió: > >> En realidad eso lo pone el navegador > >> > >> Seria asi sin el enlace > >> > >> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT > >> iptables -A INPUT -i eth0:2 -s 0/0 -p all -j REJECT > >> > >> Asi debería quedar... > >> > >> Saludos, > >> David > >> > >> > >> El 10 de septiembre de 2013 16:49, Normando Hall <[email protected] > >escribió: > >> > >>> David una consulta. > >>> > >>> En la segunda reglas especificas el protocolo http: > >>> > >>> <http://172.16.0.0/8> > >>> > >>> Es correcto? Y debe ir asi encerrado entre los signos <>? > >>> > >>> Gracias > >>> > >>> > >>> El 06/09/2013 11:38 a.m., David González Romero escribió: > >>> > >>>> Perdon me equivoque: > >>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j ACCEPT > >>>> iptables -A INPUT -i eth0:2 -s 0 <http://172.16.0.0/8>/0 -p all -j > >>> REJECT > >>>> El 6 de septiembre de 2013 10:37, David González Romero < > >>> [email protected] > >>>>> escribió: > >>>>> iptables -A INPUT -i eth0:2 -s 172.16.0.0/8 -p all -j REJECT > >>>>> > >>>>> Saludos, > >>>>> David > >>>>> > >>>>> > >>>>> El 6 de septiembre de 2013 04:18, Normando Hall < > [email protected] > >>>> escribió: > >>>>> Hola amigos listeros. > >>>>>> Tengo configurado en centos6 strongswan que está bindeado a eth0:2. > >>>>>> Quiero que esta interfaz sólo atienda a la vpn ignorando todo > tráfico > >>>>>> externo a la vpn. La IP de la vpn es 172.16.xx.xx y la IP de la > >>> interfaz > >>>>>> es una ip pública 190.210.xxx.xxx > >>>>>> > >>>>>> Por ejemplo, cualquier solicitud hecha por fuera de la vpn (172.xxx) > >>>>>> debe ser ignorada por esta interfaz. > >>>>>> > >>>>>> Muchas gracias > >>>>>> > >>>>>> -- > >>>>>> Normando Hall > >>>>>> Rosario - Argentina > >>>>>> [email protected] > >>>>>> > >>>>>> _______________________________________________ > >>>>>> CentOS-es mailing list > >>>>>> [email protected] > >>>>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>>>> > >>>> _______________________________________________ > >>>> CentOS-es mailing list > >>>> [email protected] > >>>> http://lists.centos.org/mailman/listinfo/centos-es > >>>> > >>> -- > >>> Normando Hall > >>> Rosario - Argentina > >>> [email protected] > >>> > >>> _______________________________________________ > >>> CentOS-es mailing list > >>> [email protected] > >>> http://lists.centos.org/mailman/listinfo/centos-es > >>> > >> _______________________________________________ > >> CentOS-es mailing list > >> [email protected] > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > -- > Normando Hall > Rosario - Argentina > [email protected] > > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
