bueno despues de unos dias peleandome a ver si podeis echarme una mano, el problema es que en la dmz tengo una "centralita de robo" la cual esta conectada siempre con la compañia que controla la arlama, esta se gestiona por unos puertos tcp y udp que creo haber abierto pero no consigo establecer conexion
Os pongo en situacion a ver si veis donde estoy fallando, os lo agradeceria mucho ya que me estoy volviendo loco
un esquema de lo que quiero montar
Cita: !/bin/bash
##FLUSH DE LAS REGLAS
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
##REGLAS DEFAULT
iptables -P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP
iptables –t nat –PREROUTING DROP
iptables –t nat –POSTROUTING DROP
##PERMITIR LOCAL
/sbin/iptables –A INPUT–i lo –j ACCEPT
/sbin/iptables –A OUTPUT –o lo –j ACCEPT
##ACCESO DE LA LAN AL FIREWALL VIA SSH
iptables –t nat –A PREROUTING –i eth1 –j ACCEPT
iptables –A INPUT –s 172.26.1.4 –p tcp –dport 8686 –j ACCEPT
iptables –A OUTPUT –d 172.26.1.4 –p tcp –sport 8686 –j ACCEPT
##BLOQUEO DE SPOOFING
iptables –A INPUT –i eth0 –s 172.26.1.0/24 –j DROP
iptables –A INPUT –i eth0 –s 172.26.2.0/29 –j DROP
##ACCESO LAN-DMZ
Echo “1” > /proc/sys/net/ipv4/ip-forward
iptables –t nat –A POSTROUTING –o eth2 –j ACCEPT
##ACCESO WAN-DMZ
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 172.26.2.2:80
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 172.26.2.2:443
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3062 -j DNAT --to-destination 172.26.2.4:3062
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3063 -j DNAT --to-destination 172.26.2.4:3063
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 3064 -j DNAT --to-destination 172.26.2.4:3064
iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3060 -j DNAT --to-destination 172.26.2.4:3060
iptables –t nat –A PREROUTING -i eth0 -p udp --dport 3061 -j DNAT --to-destination 172.26.2.4:3061
##apertura de puertos
iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3062 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3062 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3063 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3063 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3064 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3064 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 3060 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p udp --sport 3060 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 3061 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -p udp --sport 3061 -i eth2 -o eth0 -j ACCEPT
##LAN WAN
iptables -t nat -A POSTROUTING -s 172.26.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED --sport 443 -j ACCEPT
Tengo una ip publica, pero bueno a nivel de reglas "creo" que no influye,
-En el router (uno de estos blancos de telefonica wireless)
he cambiado la ip interna y he quitado todas las reglas de nat que habia antes.
-La central de alarmas tiene como puerta de enlace 172.26.2.1
-el cableado router-tarjeta de red firewall debe ser cruzado o recto (ahora es recto)
-se ha ejecutado el script con
sh script y luego se han guardado las politicas con
service iptables save
-no es necesario iniciar sesion en el servidor para que el netfilter actue no?
-se me ha pasado alguna configuracion en el servidor?
se que el problema viene de que la politica por defecto esta a default pero creo que he creado las reglas pertinentes que afectan a lo que si quiero dejar abierto
muchisimas gracias