Foros del Web » Administración de Sistemas » Unix / Linux »

configuracion cortafuegos iptables.

Estas en el tema de configuracion cortafuegos iptables. en el foro de Unix / Linux en Foros del Web. Hola a todos, tengo una duda para la configuración de un cortafuegos bajo ubuntu server. Trabajo como profesor en un instituto y tengo montado un ...
  #1 (permalink)  
Antiguo 13/01/2014, 10:48
 
Fecha de Ingreso: septiembre-2010
Mensajes: 9
Antigüedad: 14 años, 2 meses
Puntos: 0
configuracion cortafuegos iptables.

Hola a todos, tengo una duda para la configuración de un cortafuegos bajo ubuntu server.

Trabajo como profesor en un instituto y tengo montado un servidor en el aula de informática con 2 redes privadas y la que sale a la red coorporativa de la junta.
Todo me va bien excepto que no se porqué no puedo hacer que funcione el forward entre las dos lan privadas.

la eth1 (172.16.0.0 /16) y la eth3(172.17.0.0/16) son las privadas ambas son dos aulas de informática.

la eth0(me da una 192.168.8.107) por dhcp como si fuera un ordenador normal de la dotación que tiene el instituto.

eth0<-------->proxy<----------->172.16.0.0 /16 Y <------------>172.17.0.0/16

Desde cualquiera de las redes privadas salgo y navego a internet pero necesito acceder a unos AP desde una red que tengo en la otra.

Mejor os dejo la configuración del cortafuegos borrando algunas cosas para no excederme.
__________________________________________________ ______________

#!/bin/sh

#*****VERSIÓN ACTUALIZADA AL 20-11-2013**
#Cuando referimos a la red 172.0.0.0/8 son las dos subredes(Aula rosa y Aula azul)

red_rosa="172.16.0.0/16"
red_azul="172.17.0.0/16"
red_insti="192.168.0.0/16"
prefijo_red="172.0.0.0/8"

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Activacion reglas filtrado iptables"

iptables -F
iptables -X
iptables -Z

iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


#*Enmascaramos la LAN. T
iptables -t nat -A POSTROUTING -s $red_azul -o eth0 -j MASQUERADE && echo "Enmascaramiento LAN OK"
iptables -t nat -A POSTROUTING -s $red_rosa -o eth0 -j MASQUERADE && echo "Enmascaramiento LAN OK"


#**ACEPTAMOS ICMP
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
iptables -A INPUT -i eth3 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth3 -p ICMP -j ACCEPT


#*ACCEPTAMOS TODO AL LOCALHOST
iptables -A INPUT -i lo -j ACCEPT && echo "Acceso localhost ok"
iptables -A OUTPUT -o lo -j ACCEPT && echo "Acceso localhost ok"

#*Acceso al firewall por lan ssh a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -A INPUT -s $red_rosa -p tcp --dport 22 -j ACCEPT && echo "Acceso ssh entrada firewall OK"
iptables -A OUTPUT -d $red_rosa -p tcp --sport 22 -j ACCEPT && echo "Acceso ssh salida firewall OK"
iptables -A INPUT -s $red_azul -p tcp --dport 22 -j ACCEPT && echo "Acceso ssh entrada firewall OK"
iptables -A OUTPUT -d $red_azul -p tcp --sport 22 -j ACCEPT && echo "Acceso ssh salida firewall OK"


#**Permitimos conexiones entre ambas redes privadas.
iptables -t filter -A FORWARD -i eth1 -o eth3 -j ACCEPT
iptables -t filter -A FORWARD -i eth3 -o eth1 -j ACCEPT


#**Lo utiliizo para recibir copias de seguirdad de mantenimeinto pc aulas**
iptables -A INPUT -s $red_rosa -p tcp --dport 1234 -j ACCEPT
iptables -A OUTPUT -d $red_rosa -p tcp --sport 1234 -j ACCEPT


#**Acceso al firewall red ies por ssh.
iptables -A INPUT -s $red_insti -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d $red_insti -p tcp --sport 22 -j ACCEPT

#**Acceso al servidor mysql por la LAN aula INFORMATICA ROSA
iptables -A INPUT -s $red_rosa -p tcp --dport 3306 -j ACCEPT
iptables -A OUTPUT -d $red_rosa -p tcp --sport 3306 -j ACCEPT

#**Acceso de nuestro proxy a Internet
iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "web OK"
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT && echo "web OK"
iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "web seguro OK"
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT && echo "Web seguro OK"


#***Acceso al DNS
iptables -A INPUT -s 0.0.0.0/0 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 0.0.0.0/0 -p udp -m udp --dport 53 -j ACCEPT

#***Acceso al FTP local a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -A INPUT -s $red_rosa -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -d $red_rosa -p tcp -m tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -s $red_azul -p tcp -m tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -d $red_azul -p tcp -m tcp --sport 20:21 -j ACCEPT

#***Acceso al FTP local desde la red ies
iptables -A INPUT -s $red_insti -p tcp -m tcp --dport 20:21 -j ACCEPT && echo "Acceso al ftp entrada ies"
iptables -A OUTPUT -d $red_insti -p tcp -m tcp --sport 20:21 -j ACCEPT && echo "Acceso al ftp salida ies"

#**Acceptamos conexiones ftp modo pasivo (Cliente solicita un puerto libre) a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
#**Las conexiones ftp con servidor proxy, deben de ser pasivas. El servidor responde con un puerto diferente al 20, 21. Por ello
#**debemos habrir un rango de puertos en el servidor de respuesta datos
#**En el fichero proftpd.conf tengo habilitados los puertos pasivos desde el 50000 hasta el 55000*
iptables -A INPUT -s $red_rosa -p tcp -m tcp --dport 50000:55000 -j ACCEPT
iptables -A OUTPUT -d $red_rosa -p tcp -m tcp --sport 50000:55000 -j ACCEPT
iptables -A INPUT -s $red_azul -p tcp -m tcp --dport 50000:55000 -j ACCEPT
iptables -A OUTPUT -d $red_azul -p tcp -m tcp --sport 50000:55000 -j ACCEPT

#**Aceptamos conexiones ftp modo pasivo (cliente solicita un puerto libre) a la red del instituto*
iptables -A INPUT -s $red_insti -p tcp -m tcp --dport 50000:55000 -j ACCEPT
iptables -A OUTPUT -d $red_insti -p tcp -m tcp --dport 50000:55000 -j ACCEPT

#**Aceptamos conexiones ftp modo pasivo desde la red A OTROS SERVIDORES FTP EXTERNOS solicitando puerto libre desde las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
#**Estas conexiones las permitimos para que podamos utilizar clientes ftp con otros hosting ftp
iptables -A FORWARD -s $red_rosa -p tcp -m tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -d $red_rosa -p tcp -m tcp --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -s $red_azul -p tcp -m tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -d $red_azul -p tcp -m tcp --sport 1024:65535 -j ACCEPT

#***Aceptamos conexiones entrantes YA establecidas*
iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#***Acceso al SERVIDOR WEB LOCAL a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -A INPUT -s $red_rosa -p tcp --dport 80 -j ACCEPT && echo "Acceso entrada al servidor web OK"
iptables -A OUTPUT -d $red_rosa -p tcp --sport 80 -j ACCEPT && echo "Acceso salida al servidor Web OK"
iptables -A INPUT -s $red_azul -p tcp --dport 80 -j ACCEPT && echo "Acceso entrada al servidor web OK"
iptables -A OUTPUT -d $red_azul -p tcp --sport 80 -j ACCEPT && echo "Acceso salida al servidor Web OK"

#***Habilitamos cuando nos conectemos desde fuera de la subred AL SERVIDOR WEB LOCAL***
iptables -A INPUT -s $red_insti -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d $red_insti -p tcp --sport 80 -j ACCEPT


#***Navegacion de la lan a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -t filter -A FORWARD -i eth1 -o eth0 -s $red_rosa -p tcp --dport 80 -j ACCEPT && echo "Navegacion web ok 172.16.0.0 puerto 80"
iptables -t filter -A FORWARD -i eth3 -o eth0 -s $red_azul -p tcp --dport 80 -j ACCEPT && echo "Navegacion web ok 172.17.0.0 puerto 80"
iptables -t filter -A FORWARD -i eth0 -o eth1 -d $red_rosa -s 0/0 -p tcp --sport 80 -j ACCEPT && echo "Navegacion web ok 172.16.0.0 puerto 80"
iptables -t filter -A FORWARD -i eth0 -o eth3 -d $red_azul -s 0/0 -p tcp --sport 80 -j ACCEPT && echo "Navagacion web ok 172.17.0.0 puerto 80"


#***Navagacion de la lan a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -t filter -A FORWARD -i eth1 -o eth0 -s $red_rosa -p tcp --dport 443 -j ACCEPT && echo "Navegacion web segura ok 172.16.0.0 puerto 443"
iptables -t filter -A FORWARD -i eth3 -o eth0 -s $red_azul -p tcp --dport 443 -j ACCEPT && echo "Navegacion web segura ok 172.17.0.0 puerto 443"
iptables -t filter -A FORWARD -i eth0 -o eth1 -d $red_rosa -s 0/0 -p tcp --sport 443 -j ACCEPT && echo "Navegacion web segura ok 172.16.0.0 puerto 443"
iptables -t filter -A FORWARD -i eth0 -o eth3 -d $red_azul -s 0/0 -p tcp --sport 443 -j ACCEPT && echo "Navegacion web segura ok 172.169.0.0 puerto 443"
#***Fin Navegacion de la lan.
#***Acceso al dns a las dos redes tipo B. 172.16.0.0/16 y 172.17.0.0/16
iptables -t filter -A FORWARD -i eth1 -o eth0 -s $red_rosa -p tcp --dport 53 -j ACCEPT && echo "forward Dns 172.16.0.0 ok tcp"
iptables -t filter -A FORWARD -i eth3 -o eth0 -s $red_azul -p tcp --dport 53 -j ACCEPT && echo "forward Dns 172.17.0.0 ok tcp"
iptables -t filter -A FORWARD -i eth0 -o eth1 -d $red_rosa -s 0/0 -p tcp --sport 53 -j ACCEPT && echo "forward Dns 172.16.0.0 ok tcp"
iptables -t filter -A FORWARD -i eth0 -o eth3 -d $red_azul -s 0/0 -p tcp --sport 53 -j ACCEPT && echo "forward Dns 172.17.0.0 ok tcp"
iptables -t filter -A FORWARD -i eth1 -o eth0 -s $red_rosa -p udp --dport 53 -j ACCEPT && echo "forward Dns 172.16.0.0 udp"
iptables -t filter -A FORWARD -i eth3 -o eth0 -s $red_azul -p udp --dport 53 -j ACCEPT && echo "forward DNS 172.17.0.0 ok udp"
iptables -t filter -A FORWARD -i eth0 -o eth1 -d $red_rosa -s 0/0 -p udp --sport 53 -j ACCEPT && echo "forward Dns 172.16.0.0 ok udp"
iptables -t filter -A FORWARD -i eth0 -o eth3 -d $red_azul -s 0/0 -p udp --sport 53 -j ACCEPT && echo "forward DNS 172.17.0.0 ok udp"

__________________________________________________ ___________
Alguno podría decirme qué estoy haciendo mal.

Etiquetas: ip, rango, red, redes, seguridad-y-redes-en-dispositivos-y-software, server
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:56.