la siguiente configuracion
Cita:
que diferencia hay entre hacer el masquerade de la red local (para que pueda salir al exterior) y hacerlo con forward?#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat –F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Reglas Filtrado.
## eth0 es el interfaz conectado al router y eth1 a la LAN
# Peticiones por el puerto 80/443 se redirigen al servidor/loquesea (opcional)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.26.1.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 172.26.1.2:443
#Loopback al propio servidor
/sbin/iptables -A INPUT -i lo -j ACCEPT
#Acceso al firewall desde equipos concretos de la red aceptado
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 172.26.0.X -i eth1 -j ACCEPT
# Enmascaramiento de la red local y de la DMZ para que puedan salir haca fuera
iptables -t nat -A POSTROUTING -s 172.26.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.26.1.0/30 -o eth0 -j MASQUERADE
# BIT DE FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_forward
#DMZ to LAN = DROP
iptables -A FORWARD -s 172.26.1.0/30 -d 172.26.0.0/24 -j DROP
#DMZ to Firewall
iptables -A INPUT -s 172.26.1.0/30 -i eth2 -j DROP
# Acceso desde el exterior = DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat –F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Reglas Filtrado.
## eth0 es el interfaz conectado al router y eth1 a la LAN
# Peticiones por el puerto 80/443 se redirigen al servidor/loquesea (opcional)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.26.1.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 172.26.1.2:443
#Loopback al propio servidor
/sbin/iptables -A INPUT -i lo -j ACCEPT
#Acceso al firewall desde equipos concretos de la red aceptado
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 172.26.0.X -i eth1 -j ACCEPT
# Enmascaramiento de la red local y de la DMZ para que puedan salir haca fuera
iptables -t nat -A POSTROUTING -s 172.26.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.26.1.0/30 -o eth0 -j MASQUERADE
# BIT DE FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_forward
#DMZ to LAN = DROP
iptables -A FORWARD -s 172.26.1.0/30 -d 172.26.0.0/24 -j DROP
#DMZ to Firewall
iptables -A INPUT -s 172.26.1.0/30 -i eth2 -j DROP
# Acceso desde el exterior = DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
seria por el tema de que router y firewall no hicieran los dos NAT?
con esta configuracion todo entrante apartir de el puerto 1024 se aceptaria no? por ejemplo emule protocolos parecidos serian aceptados no?
