El Martes, 11 de Enero de 2005 14:08, Chechu escribió: Mirando mas detenidamente tu esquema no lo veo claro: Parece que tienes dos routers. Yo para empezar, haría un ping desde los routers a los demás equipos. Que los equipos pasen por el router es facil, simplemente añade esta regla al script de iptables (despues de la linea MASQUERADE): iptables -A FORWARD --in-interface $lan_iface -j ACCEPT
Con esta regla llevas lo que entra en el router a $lan_iface que es el interfaz de red conectado a la LAN. > Hola ...e sla priemra vez que escribo a esta lista ...a ver si m pueden > ayudar...tengo una reddispuesta de la siguiente forma > > INTERNET > > router1 |eth0(192.168.1.1) > > > eth0(192.168.1.2)Ironpc3-->QoS, Router y Firewall-->(192.168.2.5)eth1 > > > router2 |eth1(192.168.2.1) > > ____|_____ > > > (192.168.2.3)Ironpc1 Ironpc2(192.168.2.4) > > El archivo /etc/network/interfaces esta configurado asi en Ironpc3 > # /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) > > # The loopback interface > auto lo > iface lo inet loopback > > # The first network card - this entry was created during the Debian > installation > # (network, broadcast and gateway are optional) > auto eth1 > iface eth1 inet static > address 192.168.2.5 > netmask 255.255.255.0 > network 192.168.2.0 > broadcast 192.168.2.255 > gateway 192.168.2.1 > auto eth0 > iface eth0 inet static > address 192.168.1.2 > netmask 255.255.255.0 > network 192.168.1.0 > broadcast 192.168.1.255 > gateway 192.168.1.1 > En IronPc1 > > auto eth0 > iface eth0 inet static > address 192.168.2.3 > netmask 255.255.255.0 > network 192.168.2.0 > broadcast 192.168.2.255 > gateway 192.168.2.5 > Y en Ironpc2 hay instala w2k con pasarela(gateway) a 192.168.2.5 > > Entonces lo que intento conseguir es que IronPc2 solo tenga acceso a los > puertos de internet correo y kazaa, Ironpc1 no tenga ninguna limitacion > y Ironpc3 pueda descargar de Amule y bitorrent balanceando la conexion > con QoS mediante el script de Wondershaper. > > Acabo de empezar a manejar iptables, y hesacado de un manual el > siguiente script que he adaptado un poco....pero que ni aun asi m > funciona > > #!/bin/sh > ## SCRIPT de IPTABLES - ejemplo del manual de iptables > ## Ejemplo de script para firewall entre red-local e internet > ## con filtro para que solo se pueda navegar. > ## Pello Xabier Altadill Izura > ## www.pello.info - [EMAIL PROTECTED] > > echo -n Aplicando Reglas de Firewall... > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > ## Empezamos a filtrar > ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN > # El localhost se deja (por ejemplo conexiones locales a mysql) Esto la > #verdad que no entiendo pork lo hace > /sbin/iptables -A INPUT -i lo -j ACCEPT > > # Al firewall tenemos acceso desde un solo pc de la red local > iptables -A INPUT -s 192.168.2.1 -i eth1 -j ACCEPT > > ## Ahora con regla FORWARD filtramos el acceso de la red local > ## al exterior. Como se explica antes, a los paquetes que no van > ##dirigidos al > ## propio firewall se les aplican reglas de FORWARD > > # Aceptamos que vayan a puertos 80 > iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 80 -j ACCEPT > # Aceptamos que vayan a puertos https > iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 443 -j > ACCEPT > > # Aceptamos que consulten los DNS > iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p tcp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.2.2/6 -i eth1 -p udp --dport 53 -j ACCEPT > > # Aceptamos El bittorent(8990/8999) de IronPc3 y el amule(tcp 8890 y udp > # 8892) > iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8990:8999 -j > ACCEPT > iptables -A FORWARD -s 192.168.1.2 -i eth0 -p tcp --dport 8890 -j > ACCEPT > iptables -A FORWARD -s 192.168.1.2 -i eth0 -p udp --dport 8892 -j ACCEPT > > #Habria que abrir los de correo para Ironpc2 > > # Y denegamos el resto. Si se necesita alguno, ya avisaran > iptables -A FORWARD -s 192.168.2.4 -i eth1 -j DROP > > # Ahora hacemos enmascaramiento de la red local > # y activamos el BIT DE FORWARDING (imprescindible!!!!!) > iptables -t nat -A POSTROUTING -s 192.168.1.1 -o eth0 -j MASQUERADE > > # Con esto permitimos hacer forward de paquetes en el firewall, o sea > # que otras máquinas puedan salir a traves del firewall. > echo 1 > /proc/sys/net/ipv4/ip_forward > > ## Y ahora cerramos los accesos indeseados del exterior: > # Nota: 0.0.0.0/0 significa: cualquier red > > # Cerramos el rango de puerto bien conocido > iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP > > # Cerramos un puerto de gestión: webmin > iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP > > echo " OK . Verifique que lo que se aplica con: iptables -L -n" > > # Fin del script > > No selo que falla exactamente, creo que aparte de que el scripteste mal > me faltan un parde lineas para hacer que el pc funcione como router > gracias -- Saludos, Javier (aka future) Linux user #295135 Linux no es difícil, es exigente con sus usuarios.
