Firewall con ip tables y servidor web

Hola, ante todo gracias por la ayuda:

Tengo un firewall perimetral anteponiendose a la LAN, dentro de mi lan tengo un servidor web que deseo publicar para verse desde fuera.

Configure mi firewall con IPTABLES utilizando las politicas por defecto en ACCEPT y me funciono correctamente colocando este script


iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.10:80


El problema es que cuando deseo colocar las politicas por defecto en DROP y publicar la web de la misma forma, esta ya no me funciona, es posible que tenga que configurar la ida y vuelta de los paquetes nateados, o eso creo.

Espero me ayuden ya que soy nuevo en iptables.

Saludos
Marco

¿Aquí también hay gente que sabe de esas cosas?

No sé si me he enterado de cuál es el problema, pero parece que primero abres el puerto y luego lo cierras.

Lo normal es que NAT no sea la herramienta adecuada en este caso.

En primer lugar tienes que redirigir en el firewall perimetral el puerto en el que quieras publicar la web al puerto 80 de la IP privada del servidor. Si es un router ADSL suele haber una interfaz web muy sencilla para hacerlo.

Después en la máquina donde tengas el servidor web pon la política de INPUT en DROP y pincha el agujerito de entrada:

Alguien escribió:

iptables -A INPUT -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Por si acaso hace falta decirlo, no pongas la política de OUTPUT en DROP.

#3 Hola gracias por la respuesta, podrias explicarme como hacer la redireccion? ya que soy novato en iptables.
Gracias

Si tu firewall externo es un router ADSL tienes que consultar su documentación.

Un ejemplo:

http://www.adslzone.net/tutorial-44.8.html

Pero el puerto en el router ya lo tiene abierto, ¿no? Creo que ha dicho que le funciona hasta que mete el drop.

#6 Si asi es, cuando tranbajo bajo politicas de ACCEPT no tengo ningun problema, el detalle radica en las politicar por defecto en DROP del INPUT, OUTPUT Y FORWARD

#6

Lo he incluido por dar la solución completa.

marko_2607 escribió:

Espero me ayuden ya que soy nuevo en iptables.

Lo lamento, aunque te hayan ayudado, voy a mover este hilo a offtopic ya que este foro no es de soporte técnico general para GNU/Linux, sino más bien de dudas especificamente de audio sobre dicha plataforma.

Pueden darle seguimiento en el subforo de Off-Topic.

Ojalá comprendan la situación. Gracias.

No se al final qué ha pasado con este hilo.

Yo creo que el problema que tienes es que lo estás haciendo al revés. En un firewall lo primero es definirle las políticas por defecto. Si quieres que todo cerrado, pues todo cerrado, que todo abierto, todo abierto, que abierto sólo para un protocolo, pues un protocolo abierto. En tu caso todo cerrado, vale, no entra ni el aire. Una vez que le has dicho lo que tiene que hacer por defecto, le das las excepciones. En tu caso, por defecto, todo drop. Drop por aquí, drop por allá. Y luego le das las excepciones, protocolo tcp/ip para puerto 80.

Me da que lo que estás haciendo ahora es abrir el 80 y luego decirle que todo cerrado, con lo que prevalece el todo cerrado.