Foros del Web » Administración de Sistemas » Unix / Linux »

Duda en iptables uso de FORWARD

Estas en el tema de Duda en iptables uso de FORWARD en el foro de Unix / Linux en Foros del Web. Hola amigos de foros del web, Tengo la siguiente duda a la hora de usar FORWARD o las instrucciones INPUT y OUPUT, he visto ejemplo ...
  #1 (permalink)  
Antiguo 31/10/2006, 09:16
 
Fecha de Ingreso: abril-2005
Mensajes: 208
Antigüedad: 19 años, 7 meses
Puntos: 1
Duda en iptables uso de FORWARD

Hola amigos de foros del web,

Tengo la siguiente duda a la hora de usar FORWARD o las instrucciones INPUT y OUPUT, he visto ejemplo donde se utiliza las dos últimas pero cuando la política por defecto de FORWARD es DROP, entonces utilizan éste para redireccionar los paquetes a la interfaz según convenga. Estoy suponiendo que el firewall está entre internet y la red privada.

Gracias de antemano.

Saludos,

Logout.
  #2 (permalink)  
Antiguo 31/10/2006, 10:49
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
¿Y cual es la duda?
__________________
¡Volviendo a la programación!
  #3 (permalink)  
Antiguo 31/10/2006, 12:55
 
Fecha de Ingreso: abril-2005
Mensajes: 208
Antigüedad: 19 años, 7 meses
Puntos: 1
La duda es que debo de utilizar si la politica por defecto en INPUT, OUTPUT y DROP. ¿Qué debo de utilizar FORWARD u otra forma para permitir la entrada o salida de paquete?, ésto suponiendo que mi firewall se encuentra entre la red privada y el internet. Por ejemplo si tengo un servidor web, se debe permitir la entrada y consecuente la salida de la respuesta de éste para brindar ese servicio a mis usuarios. Pondría esta regla

iptables -A OUTPUT -m state --state STABLISHED,RELATED - j ACCEPT
iptables -A INPUT -p tcp --dport 80 - j ACCEPT

ó esta

iptables -A FORWARD -m state --state STABLISHED,RELATED -J ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

¿Cual es más sugerible?. Yo suponía que el FORWARD se usaba si el firewall, estaba como encaminador y creo que la primera es la sugerible pero necesito su opinión, por que no estoy seguro.
  #4 (permalink)  
Antiguo 31/10/2006, 15:03
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Mira, hay varias tablas por defecto en iptables. Son filter, nat y mangle. Yo uso siempre filter y nat.
Basicamente lo uso asi (con el ejemplo del puerto 80):
No pongo nat ni mangle porque por lo que entiendo tu servidor no hace las funciones de router.

Código:
# Generated by iptables-save v1.3.3 on Tue Oct 31 18:04:57 2006
*filter
:INPUT DROP [129191:12753224]
:FORWARD ACCEPT [28027766:15889704567]
:OUTPUT ACCEPT [7032973:4794159089]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Oct 31 18:04:57 2006
# Generated by iptables-save v1.3.3 on Tue Oct 31 18:04:57 2006
*nat
:PREROUTING ACCEPT [754756:56531439]
:POSTROUTING ACCEPT [135995:8705258]
:OUTPUT ACCEPT [468150:31118371]
COMMIT
# Completed on Tue Oct 31 18:04:57 2006
# Generated by iptables-save v1.3.3 on Tue Oct 31 18:04:57 2006
*mangle
:PREROUTING ACCEPT [35955455:20422553355]
:INPUT ACCEPT [7512777:4315365247]
:FORWARD ACCEPT [28441716:16107008080]
:OUTPUT ACCEPT [7178731:4856829829]
:POSTROUTING ACCEPT [35625924:20965166642]
COMMIT
__________________
¡Volviendo a la programación!
  #5 (permalink)  
Antiguo 31/10/2006, 15:21
 
Fecha de Ingreso: abril-2005
Mensajes: 208
Antigüedad: 19 años, 7 meses
Puntos: 1
Hola Ale,

Talvez no dí a entender bien mi duda, he resuelto poner el FORWARD para permitir que los paquetes se redireccionen entre ambas redes, pero luego checaré con más detalle lo propuesto por ti, me vale para coger experiencia.

Muchas gracias y saludos,

Logout.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:01.