Hola a todos su ayuda es importante para mi, estoy configurando un proxy transparente con tres interfaces de red
eth0: 192.168.1.1 que esta conectada al modem de ISP
eth1: 192.168.10.254 que esta conectada a la LAN para proveer dhcp e internet
eth2: 192.168.50.254 que esta conectada a la DMZ donde tengo un Servidor Web y un servidor FTP

En el servidor tengo instalado DHCP y Squid y el problema que tengo es que necesito que desde internet puedan acceder a mi servidor web y ftp que esta en mi DMZ y eh provado infinidad de reglas iptables para poder lograrlo pero no eh tenido exito.

iptables -A FORWARD -d 192.168.1.1 -p tcp -dport 80 -j ACCEPT #sin exito

iptables -A INPUT -s 192.168.1.1 -p tcp -dport 20:21 -j ACCEPT #sin exito

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #sin exito

Quisiera saber si alguien me puede ayudar a resolver mi problea o quizas explicar algunas opciones.

De antemano gracias

Las reglas estan mal porque las estas haciendo con las ips de las interfaces del mismo server si quieres aceptar el forward de el exterior a tu dmz lo tienes que hacer con la interfaz

iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

algo asi mas o menos y de la misma manera con la interfaz de tu lan si quieres que accedan tambien a la dmz esto para aceptar las conexiones y el forward aparte tienes que hacer el prerouting

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:80

aqui tienes que poner 192.168.50.xx la ip del servidor a donde vas a redirigir la conexion. bueno es algo asi mas o menos solo checa bien la sintaxis y tus tarjetas y aque ips vas a redirigir el trafico.

Yo no he encontrado un mejor manual de IPTables como este, además de que te lo recomiendo por haber aplicado los ejemplos en forma práctica. Diagramas, ejemplos, notas, etc,. Lo dicho nada mejor... Claro, salvo los libros de servidores de AL...

http://www.pello.info/filez/firewall/iptables.html

Espero te sirva. Saludos.

WOOOOW muchisimas gracias moy funciona correctamente y muchas gracias a racmario por la liga del manual practico de iptables.

Ahora mi duda es si es la misma regla para el ftp¿?

iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:21

Gracias por la ayuda.

Si es la misma para cada puerto que quiereas o la puedes hacer en general para toda la ip aunque no es muy recomendable.

solo que en la parte del prerouting cambia el puerto destino

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.50.XX:21


el 80 es el puerto de web tendria que ser 21 tambien

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.50.XX:21

Eh puesto las siguientes reglas y me funcionan, bueno eso parece, cuando trato de ingresar desde la LAN al ftp de la DMZ sin ningun problema facil y rapido pero cuando ingreso desde internet me pide usuario y contraseña, lo usual, pero cuando intenta mostrar el directorio me sale el ERROR 424 Can't open data connection.

#desde la lan al ftp de la dmz
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 20:21 -j ACCEPT
#acceso desde internet al ftp de la dmz
iptables -A FORWARD -i eth0 -p tcp --dport 20:22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20:22 -j ACCEPT
iptables -t nat A PREROUTING -i eth0 -p tcp --dport 20:22 -j DNAT --to 192.168.50.1:21

Y no se si se tenga que abrir un nuevo puerto o algo asi¿?

Hola, intenta aplicando las mismas reglas para el FTP pero ahora para el puerto 1024, es decir agrega el puerto 1024 en tcp y udp a tus iptables con las mismas caracteristicas que utilizaste para el FTP.
Nos comentas a ver como te fue.

Saludos

---

Si he llegado tan lejos es porque me he subido en hombros de gigantes.