bash: hack: orden no encontrada!!

viernes, 9 de octubre de 2009

iptables II parte

hola

de nuevo por aca escribiendo hoy con algo un poco mas avanzado de Iptables

bueno comencemos:

suponiendo que tenemos un firewall ya creado similar a este y quiene es el que da la cara hacia internet, no ssurgen nuevas peticiones.

ejemplo.

1. ese server solo hace de firewall y tenemos un server diferente que hace de correo en la LAN, ¿ que debemos hacer ?

R/ tendriamos que hacer una redireccion de puertos

¿como lo hago?

R/ atravez de las reglas de PREROUTING

veamos.

# el server de correo esta en la IP 192.168.0.10 y tiene el servicio de postfix, #imap y pop3 (ejemplo)

primero permitimos los puertos

Recordemos !! que en el firewall tenemos definido algo asi :

###Denegamos el resto, si se necesita que alguien de la lan,necesita acceder a
###algun puerto se debe meter antes de la siguiente regla
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A OUTPUT -s 192.168.0.0/24 -i eth1 -j DROP

!!osea que las reglas de INPUT que definiremos debe ir antes de estas lineas!!!

ahora si a crear las reglas:

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT
#si tenemos pop3s debemos abrir el puerto 995
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 995 -j ACCEPT

# ahora si vamos a enrutar el trafico una vez permitido

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 192.168.0.10:25
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to 192.168.0.10:110
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 143 -j DNAT --to 192.168.0.10:143
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT --to 192.168.0.10:995

¿que hicimos ?

le dijimos al iptables que todo lo que reciba por los puertos anteriormente indicados que vengan desde la eth1 (WAN) se enrute todo hacia la direccion IP de nuestro server de correo en la LAN, asi se vera desde la WAN como si el server de correo estuviera directamente contra internet ( y no siendo asi :) )

NOTA: esta configuracion se puede aplicar para enrutar el trafico de cualquier puerto hacia cualquier maquina de la LAN lo unico que se debe tener en cuenta es el tipo de trafico si es TCP o UDP.