[opensuse-es] Ayuda con iptables
Buenos dias Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa. una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra. Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red? Un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Wed, 29 Sep 2010 10:15:28 +0200, Antonio Moreno escribió:
Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa.
una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra.
Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red?
Creo que este artículo (aunque sea antiguo) te podría servir. Port Forwarding on a Router Machine Running SUSE 10.0 http://www.novell.com/coolsolutions/feature/16709.html Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Miércoles 29 Septiembre 2010 10:15:28 Antonio Moreno escribió:
Buenos dias
Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa.
una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra.
Habría que saber : -. Si en el router haces NAT o lo tienes como BRIGE contra la interfaz externa del servidor. -. Si en el servidor planteas un simple forward de dentro hacia afuera (que obligaría a tocar las rutas del router para que la respuesta llegara de vuelta hasta la red interna) o si aplicas otro NAT.
Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red?
Mas que abrir un solo puerto para controlar un único ordenador de la red interna, yo me plantearía configurar openvpn. A pesar de que te obliga a manejar certificados, te lo ponen muy fácil en: http://www.susegeek.com/security/install-configure-openvpn-ssl-vpn-in-suse- opensuse-linux/ Solo tendrías que tocar el NAT del router para que deje pasar el puerto 1194 (o en el que hayas configurado openvpn). Una vez configurado todo, en el cliente te encontraras un ruta que conduce directamente a CUALQUIER equipo de la red interna contra CUALQUIER puerto (siempre que la interfaz tun0 la incluyas en el firewall del servidor como parte de la red interna "confiable"). Que es mas de lo que necesitas...si. Que puede parecer que es matar moscas a cañonazos... puede. Yo así lo he montado y estoy encantado porque se que cualquier administración remota va autenticada, cifrada y (salvo un "zero-day") garantizada. Saludos. Alfredo J. V. P. PD: El Royo me gustó y la laguna negra impresiona con ese murallón. Sed intransigentes con los domingueros que suban arriba y haced que bajen TODO lo que lleven. ;-)
El 29/09/10 13:38, Alfredo J. V. P. escribió:
On Miércoles 29 Septiembre 2010 10:15:28 Antonio Moreno escribió:
Buenos dias
Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa.
una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra.
Habría que saber : -. Si en el router haces NAT o lo tienes como BRIGE contra la interfaz externa del servidor. -. Si en el servidor planteas un simple forward de dentro hacia afuera (que obligaría a tocar las rutas del router para que la respuesta llegara de vuelta hasta la red interna) o si aplicas otro NAT.
Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red?
Mas que abrir un solo puerto para controlar un único ordenador de la red interna, yo me plantearía configurar openvpn. A pesar de que te obliga a manejar certificados, te lo ponen muy fácil en:
http://www.susegeek.com/security/install-configure-openvpn-ssl-vpn-in-suse- opensuse-linux/
Solo tendrías que tocar el NAT del router para que deje pasar el puerto 1194 (o en el que hayas configurado openvpn). Una vez configurado todo, en el cliente te encontraras un ruta que conduce directamente a CUALQUIER equipo de la red interna contra CUALQUIER puerto (siempre que la interfaz tun0 la incluyas en el firewall del servidor como parte de la red interna "confiable").
Que es mas de lo que necesitas...si. Que puede parecer que es matar moscas a cañonazos... puede.
Yo así lo he montado y estoy encantado porque se que cualquier administración remota va autenticada, cifrada y (salvo un "zero-day") garantizada.
Saludos. Alfredo J. V. P.
PD: El Royo me gustó y la laguna negra impresiona con ese murallón. Sed intransigentes con los domingueros que suban arriba y haced que bajen TODO lo que lleven. ;-)
Muchas gracias a los dos, por vuestras respuestas, solo he leido un poco por encima los correos, acabo de llegar de comer. Mi respuesta sobre todo es para Alfredo, no puedo hacer una VPN las empresas a las que me quiero conectar no tienen nada que ver con la mia Un saludo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Mi respuesta sobre todo es para Alfredo, no puedo hacer una VPN las empresas a las que me quiero conectar no tienen nada que ver con la mia
Upsss ! Entonces si se trata de dar soporte remoto y puntual, en horario laboral, puedes acudir a Teamviewer. Requiere la necesaria colaboración del extremo a controlar por cuanto que pide su consentimiento en el momento de conectar. Además necesitas que te digan el Id y la contraseña cuando lo arrancan. A nivel profesional y con un firewall bien armado y un gate defender de panda de por medio notaba la conexión un tanto titubeante y en una ocasión se cortó. De ahí la VPN. Pero claro, era la empresa en la que trabajaba. A nivel familiar y con ADSLs caseras, va de fábula. Si funciona, como remiendo y salida del apuro... Saludos. Alfredo J. V. P.
On Miércoles 29 Septiembre 2010 10:15:28 Antonio Moreno escribió:
Buenos dias
Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa.
una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra.
Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red?
Un saludo
En el modulo de yast del cortafuegos tienes la opcion de NAT (enmascaramiento) dentro de esta te sale una ventana (Redirigir solicitud a ip enmascarada) donde puedes redirigir los puertos de la interfaz externa a cualquier maquina interna. Recuerda abrir ese puerto en la interfaz externa (Servicios autorizados) -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El mié, 29-09-2010 a las 10:15 +0200, Antonio Moreno escribió:
Buenos dias
Tengo un pc con dos tarjetas de red, el cual me reparte internet a toda la empresa.
una de las tarjetas tiene una ip del rango del router y la otra lo tiene de la red, con iptables bloqueo todas los intentos de entrada hacia la red nuestra.
Ahora me ha surjido el problema que tengo que abrir el puerto 5900 para el vnc para que me lo redirija a una ip concreta de la red, ¿Alguien puede darme una idea de como puedo hacer que de una peticion de internet me redirija a una ip de la red?
Un saludo
* Si pides iptables, entiendo que tienes el router en monopuesto ( o la opcion vserver activada en el router hacia el cortafuegos) y es el linux el que maneja la conexion, si es asi: eth0= la conectada al router eth1= la conectada a la red interna iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5900 -j DNAT --to 192.168.1.50:5900 iptables -A FORWARD -p tcp -i eth0 -o eth1 -d 192.168.1.50 --dport 5900 -j ACCEPT * Si usas SuSEfirewall2 /etc/sysconfig/SuSEfirewall2 , seccion FW_ROUTE="yes" FW_MASQUERADE="yes" FW_FORWARD_MASQ="0/0,192.168.1.50,tcp,5900" * Si el router no esta en las condiciones sugeridas, tendras que redirigirlo en el router.
participants (5)
-
Alfredo J. V. P. -
Antonio Moreno -
Camaleón -
francisco f -
jose maria