Bienvenido(a) a Alcance Libre 05/02/2023, 23:54

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 Ayuda con LAN y DMZ
Tópico anterior Tópico siguiente
   
guzman
 07/13/11 02:37AM (Leído 3,426 veces)  

Nuevo
stressed

Estado: desconectado
Forum User

Identificado: 05/27/11
Mensajes: 6
Hola a todos su ayuda es importante para mi, estoy configurando un proxy transparente con tres interfaces de red
eth0: 192.168.1.1 que esta conectada al modem de ISP
eth1: 192.168.10.254 que esta conectada a la LAN para proveer dhcp e internet
eth2: 192.168.50.254 que esta conectada a la DMZ donde tengo un Servidor Web y un servidor FTP

En el servidor tengo instalado DHCP y Squid y el problema que tengo es que necesito que desde internet puedan acceder a mi servidor web y ftp que esta en mi DMZ y eh provado infinidad de reglas iptables para poder lograrlo pero no eh tenido exito.

iptables -A FORWARD -d 192.168.1.1 -p tcp -dport 80 -j ACCEPT #sin exito

iptables -A INPUT -s 192.168.1.1 -p tcp -dport 20:21 -j ACCEPT #sin exito

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #sin exito

Quisiera saber si alguien me puede ayudar a resolver mi problea o quizas explicar algunas opciones.

De antemano gracias
 
Profile Email
 Quote
moy
 07/13/11 10:13AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Las reglas estan mal porque las estas haciendo con las ips de las interfaces del mismo server si quieres aceptar el forward de el exterior a tu dmz lo tienes que hacer con la interfaz

iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

algo asi mas o menos y de la misma manera con la interfaz de tu lan si quieres que accedan tambien a la dmz esto para aceptar las conexiones y el forward aparte tienes que hacer el prerouting

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:80

aqui tienes que poner 192.168.50.xx la ip del servidor a donde vas a redirigir la conexion. bueno es algo asi mas o menos solo checa bien la sintaxis y tus tarjetas y aque ips vas a redirigir el trafico.
 
Profile Email
 Quote
racmario
 07/13/11 11:43AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 07/13/11
Mensajes: 1
Yo no he encontrado un mejor manual de IPTables como este, además de que te lo recomiendo por haber aplicado los ejemplos en forma práctica. Diagramas, ejemplos, notas, etc,. Lo dicho nada mejor... Claro, salvo los libros de servidores de AL... Big Grin

http://www.pello.info/filez/firewall/iptables.html

Espero te sirva. Saludos.
 
Profile Email
 Quote
guzman
 07/14/11 09:10AM  

Nuevo
happy

Estado: desconectado
Forum User

Identificado: 05/27/11
Mensajes: 6
WOOOOW muchisimas gracias moy funciona correctamente y muchas gracias a racmario por la liga del manual practico de iptables.

Ahora mi duda es si es la misma regla para el ftp¿?

iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:21

Gracias por la ayuda.
 
Profile Email
 Quote
moy
 07/14/11 06:14PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Si es la misma para cada puerto que quiereas o la puedes hacer en general para toda la ip aunque no es muy recomendable.

solo que en la parte del prerouting cambia el puerto destino

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:21


el 80 es el puerto de web tendria que ser 21 tambien

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.50.XX:21
 
Profile Email
 Quote
guzman
 07/15/11 08:46AM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/27/11
Mensajes: 6
Eh puesto las siguientes reglas y me funcionan, bueno eso parece, cuando trato de ingresar desde la LAN al ftp de la DMZ sin ningun problema facil y rapido pero cuando ingreso desde internet me pide usuario y contraseña, lo usual, pero cuando intenta mostrar el directorio me sale el ERROR 424 Can't open data connection.

#desde la lan al ftp de la dmz
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 20:21 -j ACCEPT
#acceso desde internet al ftp de la dmz
iptables -A FORWARD -i eth0 -p tcp --dport 20:22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20:22 -j ACCEPT
iptables -t nat A PREROUTING -i eth0 -p tcp --dport 20:22 -j DNAT --to 192.168.50.1:21

Y no se si se tenga que abrir un nuevo puerto o algo asi¿?
 
Profile Email
 Quote
José Francisco Méndez
 07/17/11 03:29PM  

Participa poco

Estado: desconectado
Forum User

Identificado: 06/30/10
Mensajes: 17
Localización:Nuevo Laredo, Tamaulipas, México
Hola, intenta aplicando las mismas reglas para el FTP pero ahora para el puerto 1024, es decir agrega el puerto 1024 en tcp y udp a tus iptables con las mismas caracteristicas que utilizaste para el FTP.
Nos comentas a ver como te fue.

Saludos

Si he llegado tan lejos es porque me he subido en hombros de gigantes.
 
Profile Email Website
 Quote
Contenido generado en: 0.20 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 11:54 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado