(Solucionado) Ubuntu como firewall entre 2 localidades

Imagen de chacaman
0 puntos

Saludos muchachos tengo un pregunta

 

Tengo la red 199.77.0.0 mask 255.255.255.128 y tengo 2 localidades connectada por fibra

tengo la localidad A 199.77.1.0 y la Localidad B 199.77.2.0

mi idea es poner una PC con 2 nic Eth0 y Eth1 en el enlace de fibra para yo filtrar los paquetes de la Localidad A a la Localidad B

y de la Localidad B a la localidad A

 

ejemplo entre las localidades solo quiero permitir DNS, DHCP, ORACLE como puedo hacer esto?

tengo ubuntu 7.10 Server Edition

eth0 199.77.1. 0

eth1 199.77.2.0

como puedo configurar mi Ubuntu para filtrar los paquetes ???? Gracias

y perdonen esta pregunta

Imagen de Gabriel_M
+1
0
-1

Hola cha...:

Deberías usar iptables, lee los ejemplos en esta página:

http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-fir... 

La que mejor cuadra es la de negar todo por defecto drop y luego ir permitiendo lo necesario. 

Saludos.


Equipo de Ubuntu-es
+1
0
-1
Imagen de chacaman
+1
0
-1

 

Gracias Gabriel. 

Tengo esta Regla de ip tables:

echo "1" /proc/sys/net/ipv4/ip_forward = 1

#!/bin/sh

echo -n Proceso de aplicar reglas

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z

## Por defecto: DROP!!!
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Acceso PC Network Admin
iptables -A INPUT -s 192.168.1.5 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.5 -j ACCEPT
iptables -A INPUT -s 192.168.1.5 -j ACCEPT && echo "Network Admin OK"

#Acceso PC IT Manager
iptables -A INPUT -s 199.77.2.115 -j ACCEPT
iptables -A OUTPUT -d 199.77.2.115 -j ACCEPT
iptables -A INPUT -s 199.77.2.115 -j ACCEPT && echo "IT Manager"

# Acceso Denegado a Todos
iptables -A INPUT -s 0.0.0.0/0 -j DROP

## Reglas de Servidores

#Acceso DNS
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a DNS TCP"

#Acceso DNS
iptables -A FORWARD -d 199.77.0.0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a DNS UDP"

## Acceso Puerto 80
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a HTTP"

## Acceso Puerto SSL
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a SSL"

## Acceso Puerto Telnet
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 23 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a Telnet"

## Acceso Webmin Administration
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 10000 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a Webmin"

## Servidor Exchange
# Acceso a puerto 25, 110 y 143
iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a SMTP"

iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 110 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a POP3"

iptables -A FORWARD -d 199.77.0.0 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -p tcp --sport 143 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a IMAP"

#Acceso SQL Server
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --dport 1434 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --sport 1434 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a SQL TCP"

#Acceso SQL Server
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p udp --dport 1433 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p udp --sport 1433 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a SQL UDP"

#Acceso a Oracle
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --dport 1521 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --sport 1521 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a Oracle TCP"

#Acceso a Oracle
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p udp --dport 1521 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p udp --sport 1521 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a Oracle UDP"

#Acceso SSH
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 199.77.0.0 -d 199.77.0.0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -s 199.77.0.0 -j ACCEPT && echo "Acceso a SSH"

#Acceso ICMP
SERVER_IP="199.77.2.241"
iptables -A OUTPUT -p icmp --icmp-type 8 -s $SERVER_IP -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d $SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

#Acceso ICMP Request
SERVER_IP="199.77.2.241"
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s $SERVER_IP -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Acceso ICMP BDIBLHw2k
SERVER_IP="199.77.1.2"
iptables -A OUTPUT -p icmp --icmp-type 8 -s $SERVER_IP -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d $SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

#Acceso ICMP BDIBLHw2k
SERVER_IP="199.77.1.2"
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -d $SERVER_IP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s $SERVER_IP -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo " OK . Verificar setup: iptables -L -n"

# End

tengo esto en mi iptables pero aun asi esta regla no me funciona

nota: las 2 colidades esta en el mismo segmento de red 199.77.0.0 connectadas por un cable de fibra y un convertido de fibra a ethernet yo quiero connectar el convertido de fibra a ethernet en la eth0 y la red local en la eth1

EDIF-1 199.77.X.X eth0 <-->Ubuntus filtrando <---> eth1 EDIF-2 199.77.0.0

ahora bien yo tengo un GW que es 199.77.1.253 yo no quiero que ubuntus sea el GW solo filtrar los paquetes entre las 2 localidades como logro hacer eso ?

+1
0
-1
Imagen de chacaman
+1
0
-1

hola quiero informar a todos que ya pude solucionar mi problema

utilice el bridge utils y ya ubuntu me funciona con capa 2 y netfilter. es un exito... : )

+1
0
-1