Iptables

manelmanel8 · #1 (**permalink**) 09/03/2017, 09:09

Buenas a todos,

a ver si me podeis dar un mano.

Tengo un PC con dos tarjetas en la tarjeta con nombre enp4s0 la IP 192.168.1.9 que seria la WAN y en la otra con nombre enp3s0 la IP 192.168.12.5 que seria la LAN.

Al PC tengo esta configuración:
IP: 192.168.12.X
Mascara: 255.255.255.0
Gateway: 192.168.1.9
DNS: las que toca.

IP del router con conexion a Internet 192.168.1.1...

Me gustaria que el trafico que entra por la tarjeta enp4s0 reenviar a la ip 192.168.1.1 para poder navegar con el pc cliente

Dejo aqui mi codigo

Saludos y Gracias

Código PHP:

  #!/bin/bash

## Variables ##
lan=enp3s0
wan=enp4s0
lanRange=192.168.12.0/23
lanServer=192.168.12.5
wanServer=192.168.1.9

## Limpiar tablas ##
iptables -F
iptables -X

## Limpiar NAT ##
iptables -t nat -F
iptables -t nat -X

## Limpiar mangle ##
iptables -t mangle -F
iptables -t mangle -X

## Política DROP por defecto ##
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

## Activar el reenvio ##
echo 1 > /proc/sys/net/ipv4/ip_forward

## Conexiones ya establecidas ##
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## Denegar paquetes con la misma ip del servidor WAN ##
iptables -A INPUT -i $wan -s $wanServer -j DROP
iptables -A OUTPUT -o $wan -s $wanServer -j DROP

## Denegar paquetes con el rango LAN por la WAN ##
iptables -A INPUT -i $wan -s $lanRange -j DROP
iptables -A OUTPUT -o $wan -s $lanRange -j DROP

## NAT de la red local ##
iptables -A POSTROUTING -t nat -o $wan -s $lanRange -j MASQUERADE

## Permitir todo desde y hacia localhost ##
iptables -A INPUT -lo -j ACCEPT
iptables -A OUTPUT -lo -j ACCEPT

## Permitir ping LAN ##
iptables -A INPUT -i $lan -p icmp -s $lanRange -j ACCEPT
iptables -A OUTPUT -o $lan -p icmp -d $lanRange -j ACCEPT

## Permitir conexiones SSH ##
iptables -A INPUT -i $lan -p tcp -s $lanRange --dport 22 -j ACCEPT
iptables -A INPUT -o $lan -p tcp -d $lanRange --sport 22 -j ACCEPT

lauser · #2 (**permalink**) 10/03/2017, 02:40

Primero debes activar el reenvío de ip's, no despues.

Código BASH:

Ver originalecho 1 > /proc/sys/net/ipv4/ip_forward

y reinicia..

Código BASH:

Ver originalservice network restart

Por ejemplo para remitir el tráfico del puerto 1111 a la ip 2.2.2.2 en el puerto 1111, sería:

Código BASH:

Ver originaliptables -t nat -A PREROUTING -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111

Y para redirigir el tráfico de una fuente por sólo un host (creo que es tu caso):

Código BASH:

Ver originaliptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111

Como apunte... redirigir la red completa:

Código BASH:

Ver originaliptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111

manelmanel8 · #3 (**permalink**) 10/03/2017, 11:16

Buenas, gracias por contestar. Tengo más o menos pero falta un poco.

Te explico al final como creo que es la mejor situacion.

Tengo un router conectado a la eth0 del Servidor que este seria la WAN con ip 192.168.X.X, en la eth1 del mismo pc que seria la LAN con ip 192.168.Y.Y a un switch y este a otro router de la LAN.

Yo con mi PC me conecto al router de la red interna y que no tengo acceso a Internet y me gustaria poder navegar.

Entonces tengo que redirigir todo el trafico que entra por la eth1 a la eth0 y de esta a la IP de router que es 192.168.1.1 no? Este es el que me proporcionaria Internet.

Saludos