Bienvenido(a) a Alcance Libre 12/08/2022, 12:56

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Seguridad New Topic Post Reply
 Shorewall y DNAT
Tópico anterior Tópico siguiente
   
daom11
 09/02/09 01:22PM (Leído 7,842 veces)  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/12/07
Mensajes: 61
Que tal amigos.

He configurado un shorewall basandome en el manual de joel y todo me ha salido bien, solo que lo hice con 2 interfces de red...

bueno la pregunta es especificamente con DNAT

ahorita tengo lo siguiente...

#ACTION SOURCE DEST PROTO DEST
# PORT
DNAT net:123.186.132.93 loc:192.168.0.11 tcp 5432

lo que quisiera hacer es que la ip 123.186.132.93 entrara al fw por el puerto 4000 por ejemplo y me hiciera un dnat a 192.168.0.11 al puerto 5432

cómo podría definir eso?? sería algo así??

#ACTION SOURCE DEST PROTO DEST
# PORT
DNAT net:123.186.132.93:4000 loc:192.168.0.11 tcp 5432

gracias de antemano y espero sus comentarios...

Saludos...
Daniel:.
 
Profile Email
 Quote
daom11
 09/02/09 02:32PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/12/07
Mensajes: 61
Hola he solucionado la situación, solo tengo que poner el puerto de la primera ip y listo...

entonces la regla quedaría de la siguiente forma

#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT
DNAT net:123.186.132.93 loc:192.168.0.11 tcp 5432 4000


Saludos...
Daniel.:
 
Profile Email
 Quote
daom11
 09/04/09 12:15PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/12/07
Mensajes: 61
Saludos a todos.

Reabro este tema ya que he tenido problemas con mi shorewall al hacer dnat

les pongo mi archivo rules

PHP Formatted Code

ACCEPT  net:123.248.123.39      all     all
DNAT    net:123.248.123.39      loc:192.168.123.11      tcp     5432    4002
DNAT    net:123.248.123.39      loc:192.168.123.11      tcp     22      5001
 

la ip de mi firewall es 123.248.123.60

lo que quiero hacer es que cuando yo haga esto

PHP Formatted Code
ssh 123.248.123.60 -p 5001


memande a la ip 192.168.123.11 al puerto 22 pero al hacerlo me sale el siguiente error

PHP Formatted Code
ssh: connect to host 132.248.123.60 port 5001: Connection refused


y lo mismo pasa con los otros puertos.

Les pongo mi archivo policy

PHP Formatted Code

loc             net     ACCEPT
fw              net     ACCEPT
net             all     DROP    info
all             all     REJECT  info
 


tengo IP_FORWARDING=On en el shorewall.conf y también tengo activo el reenvio de paquetes en el archivo sysctl.conf

Espero que alguién me pueda ayudar. gracias

Saludos.
Daniel.:
 
Profile Email
 Quote
Joel Barrios Dueñas
 09/07/09 11:46AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Aquí aplicaste mal tu planeamiento en las reglas de Shorewall. Lo que quiers hacer se hace de esta forma:

PHP Formatted Code
DNAT    net:123.248.123.39  loc:192.168.123.11:5432        tcp     4002
DNAT    net:123.248.123.39  loc:192.168.123.11:22        tcp     5001


Ten mucho cuidado con la tercera regla que estás poniendo, porque prácticamente estás abriendo TODO y quitandole sentido a tener un cortafuegos. Elimina:

PHP Formatted Code
ACCEPT  net:123.248.123.39        all     all


Abre puerto por puerto según lo que necesites. Algunos servicios trabajan por TCP/UDP (como el DNS). En este ejemplo. se abren los puertos de DNS, FTP. HTTP. HTTPS, SMTP, POP3, IMAP, SMTPS, Submission, IMAPS y POP3S:

PHP Formatted Code
ACCEPT  net:123.248.123.39        all     tcp     53
ACCEPT  net:123.248.123.39        all     udp     53
ACCEPT  net:123.248.123.39        all     udp     20,21,80,443
ACCEPT  net:123.248.123.39        all     udp     25,110,143,465,587,993,995
 
Profile Email Website
 Quote
Contenido generado en: 0.42 segundos New Topic Post Reply
 Todas las horas son CDT. Hora actual 12:56 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado