El jue, 12-05-2005 a las 03:09 +0200, lalistax escribió: > He estado preguntando por la lista de debian, y no me aclaro con > iptables. > > Os cuento mi situación, tengo 2 redes una de rango 192.168.0.x y otra > 192.168.1.x > > En la 192.168.0.x tengo en el .1 el router, en el .10 el ordenador del > jefe y en .100 el servidor debian > En la 192.168.1.x tengo en el .1 .2 .3 .4 ordenadores clientes para > oficina, y en el .100 el servidor debian > > Los pcs clientes reciben internet a través del proxy, el squid en el > puerto 8080. > > Hasta aquí todo bien, ahora el jefe me ha pedido que configure los 4 pcs > clientes el outlook. > > Y Cual es mi problema, pues claro que los pcs clientes no pueden acceder > al router, la solución por lo que he leído es redirigir el trafico de > los puertos 25 y 110 al router, y que esto se hace con iptables, yo de > iptables no sé, seamos sinceros, y el jefe quiere verlo el viernes, y la > cosa esta complicada, jejejej, he hecho pruebas y no he conseguido sacar > nada en claro. > > Por defecto las maquinas van a pedir el trafico web por la configuración > del navegador web al servidor por lo que creo no tener que hacer ninguna > regla, o si? > Lo mismo pregunto para utilizar el samba. > > Yo solo quiero que iptables me redirija el trafico de los puertos 25 y > 110 hacia el router para que puedan enviar y coger correo. > > He empezado a diseñar mi script y he conseguido solo esto en claro > > #Limpieza de reglas. > echo -n "@ Limpiando reglas iptables: " > iptables -F > iptables -F INPUT > iptables -F OUTPUT > iptables -X > iptables -Z > echo "ok." > > #Cargando módulos. > echo -n "@ Cargando módulos: " > /sbin/depmod -a > modprobe ip_tables > modprobe ip_conntrack > modprobe iptable_filter > modprobe ipt_state > modprobe ipt_LOG > echo "ok." > > #Política por defecto. > echo -n "@ Aplicando política: " > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > echo "ok." > > #Interfaz lo. > echo -n "@ Interfaz lo: " > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > echo "ok." > > Y hasta aquí me he quedado. > > Buscando información he encontrado esto > > http://linux.ayuda-gratis.com/consulta/Firewall+IPTables+para+dejar+pasa > r+el+correo/ > > Y viendo esto quería saber que tenia que hacer para hacer correr > iptables, la otra pagina que encontré era para dar acceso a Internet > total, yo eso no lo quiero simplemente quiero redirigir esos 2 puertos. > > Cito lo que pone en la pagina: > Firewall IPTables para dejar pasar el correo: > > Simplemente necesitas eliminar el bloqueo en el firewall de los > puertos 25 y 110. Si es necesario redireccionar el tráfico en estos > puertos, la receta es la siguiente: > > iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to > email_ip > iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to > email_ip > > En email_ip deberia ser el router, 192.168.0.1?¿ > Supongo que para hacer eso debere usar el nat, iptables -F -t nat, es > esta regla ?? > > Por ultimo pedir perdon por el tostón, y las prisas, y deciros que a > pocas horas puedo tocar el servidor ya que siempre esta activo, por lo > tanto cualquier cosa que haga mal puedo liarla, jejejjee, de ahí, que > alguien me corrija y me ayude a ver el cielo de otro color, jejeje. > > Gracias anticipadas >
Hola, por empezar deberías de leer un poco más sobre iptables si queres usar scripts tuyos (o de otros modificados por vos), ya que en 'iptables -F -t nat' lo que hace es limpiar (-F) la tabla de NAT (-t nat) Después por lo que veo es que acceden a internet por un proxy (squid) pero este no sirve para el correo, que para este caso te conviene hacer NAT con Enmascaramiento (Masquerading) y con eso ya soluciona el problema para la gran mayoría de los protocolos, pero si lo queres más restringido al servicio vas a tener que poner filtros sobre que dejar pasar o no. Te recomiendo que utilices algún script de firewall (con nat por supuesto) como el paquete 'ipmasq' o el Firewall-Jay: http://firewall-jay.sf.net o el Easy Firewall Generator el cual es un formulario web que te crea un script de iptables a medida y lo usas directamente al levantar la interfaz de internet: http://easyfwgen.morizot.net/gen/index.php Espero que te sirva Saludos -- Anibal "Kia" Fenoglio Córdoba - Argentina ICQ: 24950258 Jabber: [EMAIL PROTECTED] Correo-e: [EMAIL PROTECTED] Blog: http://anibalf.blogspot.com http://www.16-bits.com.ar GPG id: B02DED4A -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
