Re: [suse-linux-s] iptables en suse 9.1
hola, me estoy mirando el susefirewall2. para configurar el iptables había creado un script con arranque al inicio del sistema pero no me acababa de funcionar. Exactamente donde colocarías la linia de iptables? D Alibés ----- Forwarded by daniel alibes/Isencia on 23/08/2004 18:28 ----- jose maria <letrados@usernix.org> 23/08/2004 15:04 To: suse-linux-s@suse.com cc: Subject: Re: [suse-linux-s] iptables en suse 9.1 *This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 23 de Agosto de 2004 11:37, daniel.alibes@isencia.com escribió:
Estamos migrando los servidores de NT a linux. Una máquina hace de firewall y enrutado, o sea que tiene 2 tarjetas (eth0 exterior , y eth1 red interna). Se quiere redireccionar todo lo que entre des de fuera al puerto 81 a la dirección 63.23.10.98:81 (direccion del servidor de correo). Lo puedo hacer mediante iptables? utilizamos NAT con subred 63.23.10.96 255.255.255.224. A ver si alguien me puede pasar un ejemplo.
* Con SuSEfirewall2 en /etc/sysconfig/SuSEfirewall2 FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_NETS="63.23.10.96" #o toda la subred, o las subredes que quieras, \ #las maquinas simples que quieras FW_SERVICES_EXT_TCP="81" FW_SERVICES_INT_TCP="81 <-- si quisieras tambien el trafico interno" FW_FORWARD_MASQ="0/0,63.23.10.96,tcp,81" #origen 0/0 = cualquiera, si quieres #solo el trafico externo pon las redes rutables en internet o incluso podria # puede valer NO lo he probado, !red_interna que querria decir todo excepto #lo definido, y es posible que tambien funcione una variable # ya definida en el fichero "$FW_DEV_EXT,63.23.etc.etc" #redirigir a una maquina enmascarada = 63.23.10.96, transporte = tcp , puerto #origen = 81, puerto destino si es el mismo = nada, si es otro = numero. * aclaraciones. Para poner un servidor de correo en un puerto (no comunmente conocido) se han de tener poderosas razones e implica redireccionar los puertos standard o perderas correo, si se trata de aplicar seguridad por ocultacion esto NO añade seguridad en absoluto y si te puede acarrear complegidad en la configuracion tanto del servidor como de los clientes, ergo propension a errores, reconfiguracion en las actualizaciones, etc. * Con iptables, esta regla es la basica debe ir en consonancia con el resto, asi como de la politica por defecto establecida, o no funcionara, eth0 seria la tarjeta externa. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT \ - --to 63.23.10.96:81 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFBKetXAXFL65CppEIRAilcAJ4pe2928sSo4BEAwoskJcCBY+RpiQCeLuvo rgx3eU2oSmbwgq5DflWixIo= =FpI+ -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Lunes, 23 de Agosto de 2004 18:34, daniel.alibes@isencia.com escribió:
hola,
me estoy mirando el susefirewall2. para configurar el iptables había creado un script con arranque al inicio del sistema pero no me acababa de funcionar.
* Pues por claridad un script en /etc/sysconfig/iptables, y una linea en un script de los de arranque que lo ejecute, si lo quieres mas "potito" pues usa el template de /etc/init.d/ para crear el script de arranque y chkconfig o insserv para colocarlo en el arranque.
Exactamente donde colocarías la linia de iptables?
* Despues de muchas otras, ¿o te refieres al script? , si es asi, ya contestado. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFBKjBBAXFL65CppEIRAhs4AJoCUSX+rjg8SdBac4gzSliwNNVUMACfTKpn 4pmFNWd3QI7bhATzl+9Iwug= =yQsH -----END PGP SIGNATURE-----
participants (2)
-
daniel.alibes@isencia.com
-
jose maria