Foros del Web » Administración de Sistemas » Unix / Linux »

Iptables - Permitir que una pc salga a sólo a una ip

Estas en el tema de Iptables - Permitir que una pc salga a sólo a una ip en el foro de Unix / Linux en Foros del Web. Hola a tod@s. Espero puedan ayudarme. Tengo un server CentOs con iptables + squid. Todo anda bien, con el squid permito la salida a internet ...
  #1 (permalink)  
Antiguo 19/12/2011, 17:18
 
Fecha de Ingreso: noviembre-2011
Mensajes: 6
Antigüedad: 13 años
Puntos: 0
Iptables - Permitir que una pc salga a sólo a una ip

Hola a tod@s. Espero puedan ayudarme.

Tengo un server CentOs con iptables + squid. Todo anda bien, con el squid permito la salida a internet por ip.

Ahora me piden que una pc que no tiene acceso a internet, lo tenga, pero no full, sino que sólo pueda llegar a una ip fija.

¿Qué tengo que hacer (en el iptables o squid) para permitir eso? Espero se entienda, la idea es tener usuarios con acceso full a internet, pero una pc (serán más, pero estoy probando con una) sólo puedan conectarse a una ip externa (puede ser un sitio web, pero lo estamos definiendo vía ip).

Gracias de ante mano por su ayuda.
  #2 (permalink)  
Antiguo 19/12/2011, 18:14
 
Fecha de Ingreso: enero-2011
Ubicación: /root
Mensajes: 530
Antigüedad: 13 años, 11 meses
Puntos: 61
Respuesta: Iptables - Permitir que una pc salga a sólo a una ip

haz un iptables -nvL para ver tus reglas y poder ayudarte .

saludos
  #3 (permalink)  
Antiguo 20/12/2011, 10:27
 
Fecha de Ingreso: noviembre-2011
Mensajes: 6
Antigüedad: 13 años
Puntos: 0
Respuesta: Iptables - Permitir que una pc salga a sólo a una ip

Cita:
Iniciado por matt_1985 Ver Mensaje
haz un iptables -nvL para ver tus reglas y poder ayudarte .

saludos
Código PHP:
[@ns ~]# iptables -nvL
Chain INPUT (policy ACCEPT 456 packets641K bytes)
 
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
   13   987 ACCEPT     udp  
--  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1080
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:50555
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4244
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4242
    0     0 ACCEPT     udp  
--  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:50555
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            165.98.145.152      tcp dpt:50555
    0     0 ACCEPT     tcp  
--  *      *       127.0.0.1            0.0.0.0/0           tcp dpt:143
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4949
18684   26M ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110
   28  1900 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    9  1955 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
    0     0 ACCEPT     udp  
--  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:161
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
    0     0 ACCEPT     icmp 
--  *      *       0.0.0.0/0            0.0.0.0/0
   13  2111 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x10/0x10
    0     0 ACCEPT     all  
--  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED
    0     0 ACCEPT     all  
--  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED
    4   283 REJECT     all  
--  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD 
(policy ACCEPT 0 packets0 bytes)
 
pkts bytes target     prot opt in     out     source               destination
   31  2135 ACCEPT     all  
--  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT 
(policy ACCEPT 9610 packets393K bytes)
 
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:50555
    0     0 ACCEPT     udp  
--  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:50555
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4242
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4244
    0     0 ACCEPT     tcp  
--  *      *       0.0.0.0/0            165.98.145.152      tcp dpt:50555 
Estoy probando poniendo estas reglas:

Código PHP:
iptables -t nat -A POSTROUTING -s 192.168.0.8 -d 190.98.219.24 -j MASQUERADE
iptables 
-t nat -A PREROUTING -s 192.168.0.8 -i eth0 -j DNAT --to 190.98.219.24 
donde 192.168.0.8 es la ip interna y 190.98.219.24 es la ip donde quiero llegar, nada más a esa ip quiero que tenga conexión, el resto de equipos que siga igual. Algunos con navegación full (dado por el squid) y otros (que no están especificados en el squid) bloqueo total.

Gracias por responder
  #4 (permalink)  
Antiguo 20/12/2011, 14:59
 
Fecha de Ingreso: enero-2011
Ubicación: /root
Mensajes: 530
Antigüedad: 13 años, 11 meses
Puntos: 61
Respuesta: Iptables - Permitir que una pc salga a sólo a una ip

en el squid podrias crear una acl donde la ip le denegas con ciertas excepciones .
  #5 (permalink)  
Antiguo 20/12/2011, 17:25
 
Fecha de Ingreso: noviembre-2011
Mensajes: 6
Antigüedad: 13 años
Puntos: 0
Respuesta: Iptables - Permitir que una pc salga a sólo a una ip

Cita:
Iniciado por matt_1985 Ver Mensaje
en el squid podrias crear una acl donde la ip le denegas con ciertas excepciones .
¿Cómo se podría hacer eso? ¿Podrías ayudarme? o decirme un lugar donde leer al respecto?
  #6 (permalink)  
Antiguo 21/12/2011, 11:47
 
Fecha de Ingreso: noviembre-2011
Mensajes: 6
Antigüedad: 13 años
Puntos: 0
Respuesta: Iptables - Permitir que una pc salga a sólo a una ip

Listo, ya lo resolví con algo parecido a esto:

Código PHP:
# Listas que definen conjuntos de grupos
acl contabilidad src "/etc/squid/contabilidad"
acl RRHH src "/etc/squid/RRHH"
acl secretarias src "/etc/squid/secretarias"

# Listas que definen palabras contenidas en un URL
acl contapermitidas url_regex "/etc/squid/contapermitidas" (aqui metes las paginas que deseen ver)
acl rhpermitidas url_regex "/etc/squid/permitidasconta"
acl secrepermitidas url_regex "/etc/squid/secrepermitidas"


# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS


http_access allow contabilidad contapermitidas password
http_access allow RRHH rhpermitidaspassword
http_access allow secretarias secrepermitidas password 
Tomado de: [URL="http://www.alcancelibre.org/forum/viewtopic.php?showtopic=5571"]esta web[/URL]

Etiquetas: centos, ip, iptables, pc, permitir, server
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:14.