Foros del Web » Administración de Sistemas » Unix / Linux »

Bloquear puertos de la red interna con iptables

Estas en el tema de Bloquear puertos de la red interna con iptables en el foro de Unix / Linux en Foros del Web. Hola a todos. Tengo montado una red basica, con un RH9 como firewall y servidor de algunos servicios sobre un enlace dedicado con IP fija. ...
  #1 (permalink)  
Antiguo 06/01/2005, 09:34
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 3 meses
Puntos: 47
Bloquear puertos de la red interna con iptables

Hola a todos.
Tengo montado una red basica, con un RH9 como firewall y servidor de algunos servicios sobre un enlace dedicado con IP fija. Este reparte internet hacia la red interna por medio de iptables.

Necesito poder bloquear para la red interna las conexiones hacia los puertos 25 para que por ejemplo los virus no puedan conectarse para enviar mails masivos. Obvio que al mailserver si lo vamos a dejar

No estoy seguro de donde colocar la regla, probe bajo la cadena NAT en PREROUTING Y POSTROUTING pero no me funciono.

Gracias de antemano.

Esta es mi configuracion actual de iptables:

Código:
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A PREROUTING -p tcp -m tcp -i eth0 --dport 1723 -j DNAT --to-destination 172.16.0.20:1723
-A PREROUTING -p gre -i eth0 -j DNAT --to-destination 172.16.0.20
-A PREROUTING -p tcp -m tcp -i eth0 --dport 25 -j DNAT --to-destination 172.16.0.30:25
COMMIT
*mangle
:PREROUTING ACCEPT [1904:143533]
:INPUT ACCEPT [1904:143533]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1995:739058]
:POSTROUTING ACCEPT [1995:739058]
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
  #2 (permalink)  
Antiguo 06/01/2005, 09:52
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 3 meses
Puntos: 47
Una vez mas, me contesto yo solo
Ya lo descubri.
El error es que estaba poniendo la regla en cualquier lado.

La configuracion seria la siguiente:

Código:
iptables -A FORWARD -p tcp -m tcp -i eth1 -o eth0 --dport 25 -j DROP
donde eth1 es la LAN y eth0 es la WAN.

Espero que les sirva.
Saludos.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:08.