Firewall con ip tables y servidor web

marko_2607
#1 por marko_2607 el 19/04/2013
Hola, ante todo gracias por la ayuda:

Tengo un firewall perimetral anteponiendose a la LAN, dentro de mi lan tengo un servidor web que deseo publicar para verse desde fuera.

Configure mi firewall con IPTABLES utilizando las politicas por defecto en ACCEPT y me funciono correctamente colocando este script


iptables -t nat -A PREROUTING -s 0/0 -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.10:80


El problema es que cuando deseo colocar las politicas por defecto en DROP y publicar la web de la misma forma, esta ya no me funciona, es posible que tenga que configurar la ida y vuelta de los paquetes nateados, o eso creo.

Espero me ayuden ya que soy nuevo en iptables.

Saludos
Marco
Subir
OFERTAS Ver todas
  • -29%
    Behringer X-Touch Compact
    263 €
    Ver oferta
  • -6%
    Elektron Digitakt II (B-Stock)
    939 €
    Ver oferta
  • -50%
    NI Komplete 15 Collector's Edition
    885 €
    Ver oferta
plastamix
#2 por plastamix el 19/04/2013
¿Aquí también hay gente que sabe de esas cosas?

No sé si me he enterado de cuál es el problema, pero parece que primero abres el puerto y luego lo cierras.
Subir
vagar
#3 por vagar el 20/04/2013
Lo normal es que NAT no sea la herramienta adecuada en este caso.

En primer lugar tienes que redirigir en el firewall perimetral el puerto en el que quieras publicar la web al puerto 80 de la IP privada del servidor. Si es un router ADSL suele haber una interfaz web muy sencilla para hacerlo.

Después en la máquina donde tengas el servidor web pon la política de INPUT en DROP y pincha el agujerito de entrada:

Alguien escribió:
iptables -A INPUT -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT


Por si acaso hace falta decirlo, no pongas la política de OUTPUT en DROP.
Subir
marko_2607
#4 por marko_2607 el 20/04/2013
#3 Hola gracias por la respuesta, podrias explicarme como hacer la redireccion? ya que soy novato en iptables.
Gracias
Subir
vagar
#5 por vagar el 20/04/2013
Si tu firewall externo es un router ADSL tienes que consultar su documentación.

Un ejemplo:

http://www.adslzone.net/tutorial-44.8.html
Subir
plastamix
#6 por plastamix el 20/04/2013
Pero el puerto en el router ya lo tiene abierto, ¿no? Creo que ha dicho que le funciona hasta que mete el drop.
Subir
marko_2607
#7 por marko_2607 el 20/04/2013
#6 Si asi es, cuando tranbajo bajo politicas de ACCEPT no tengo ningun problema, el detalle radica en las politicar por defecto en DROP del INPUT, OUTPUT Y FORWARD
Subir
vagar
#8 por vagar el 20/04/2013
#6

Lo he incluido por dar la solución completa.
Subir
Irwin J. Cespedes
#9 por Irwin J. Cespedes el 20/04/2013
marko_2607 escribió:
Espero me ayuden ya que soy nuevo en iptables.

Lo lamento, aunque te hayan ayudado, voy a mover este hilo a offtopic ya que este foro no es de soporte técnico general para GNU/Linux, sino más bien de dudas especificamente de audio sobre dicha plataforma.

Pueden darle seguimiento en el subforo de Off-Topic.

Ojalá comprendan la situación. Gracias.
Subir
plastamix
#10 por plastamix el 20/04/2013
No se al final qué ha pasado con este hilo.

Yo creo que el problema que tienes es que lo estás haciendo al revés. En un firewall lo primero es definirle las políticas por defecto. Si quieres que todo cerrado, pues todo cerrado, que todo abierto, todo abierto, que abierto sólo para un protocolo, pues un protocolo abierto. En tu caso todo cerrado, vale, no entra ni el aire. Una vez que le has dicho lo que tiene que hacer por defecto, le das las excepciones. En tu caso, por defecto, todo drop. Drop por aquí, drop por allá. Y luego le das las excepciones, protocolo tcp/ip para puerto 80.

Me da que lo que estás haciendo ahora es abrir el 80 y luego decirle que todo cerrado, con lo que prevalece el todo cerrado.
Subir
Nuevo post

Regístrate o para poder postear en este hilo