Desarrollo y diseño

Servidor firewall iptables

DiosUniverso
DiosUniverso #1 Oct '09

Amos a ver tengo un ordenador q le voi a poner un firewall para q esconda a una red privada, y q nadie dsd fuera pueda entrar a ella.

Ahora mismo cada ordenador sale a internet con su ip potente (150.214...) y lo q man dixo q hay q hacer es q cada ip privada (192.168...), pase x el firewall y sabiendo cual es el q ace la peticion le ponga su ip publica, es decir como si no hubiera ningun firewall y se conectaran directamente..(q la 192.168.1.1 salga a internet como 150.214.1.1, la 192.168.1.2 salga a internet como 150.214.1.24, la 192.168.1.3 salga a internet como 150.214.1.41...)

Lo estoy aciendo con el iptables d redhat alguna idea?

PiTaGoRaS
PiTaGoRaS #2 Oct '09 Spoon Bender

Yo diría que no tienes muy clara la idea... lo que quieres hacer es simplemente crear una red local en la subred 192.168.0.x y hacer que todos sus equipos salgan a internet a través de un gateway que sería ese ordenador con iptables y 2 tarjetas de red, una conectada a la red local y otra a Internet con una IP pública (150.214.x.x). En ese caso iptables tiene que estar configurado para hacer NAT entre la interface local y la interface pública. Todos los ordenadores accederían a Internet bajo la misma IP (la del gateway).

No te puedo decir la configuración exacta de iptables porque hace mucho que no lo toco y no recuerdo la sintaxis pero es bastante fácil de configurar y hay tutoriales a patadas. Otra opción es poner simplemente un switch o un router en el lugar de ese ordenador, ya que hacen precisamente eso.

DiosUniverso
DiosUniverso #3 Oct '09

NO, no estoy equivocado lo que me han dicho que haga es que los ordenadores que ahora se conectan cada uno con su ip, los ponga detras de un pc irewall, pero que aun asi que cuando se conecte alguno PAREZCA que haya sido con su ip real que tenia antes, ya que cn ello se hacen estadisticas d uso de cada ordenador y tal.

c0ira
c0ira #4 Oct '09

No se si entendi lo que queires hacer, tu ip publica en internet no la eliges tu...te la da el proveedor de internet que tengas contratado, el que t ha dicho q eligas tu la ip con la q sale a internet no debe estar muy enterado xD

Si lo que quieres es realizar auditoria,monitorizacion de la red o algo d eso haria lo q te ha indicado #2 y en el gateway instalaria los programas necesarios segun lo que quieras controlar

PiTaGoRaS
PiTaGoRaS #5 Oct '09 Spoon Bender

#3 No estoy seguro al 100% pero dudo mucho que eso que pides se pueda hacer. En cualquier caso creo que estás o estáis planteando mal la solución al problema. Podéis tener un firewall en el gateway filtrando el tráfico de todos los ordenadores y que estos mantengan su IP pública actual. ¿Hay algún otro motivo para querer cambiarlos a una red local privada?

DiosUniverso
DiosUniverso #6 Oct '09

Es que no hay gateway, por eso tenemos que ponerlo así

Por cierto lo que quiero hacer es SNAT, una tabala que cada ip privada sale con una ip publica que yo elijo para el, y q por supuesto tengo

DiosUniverso
DiosUniverso #7 Oct '09

usando iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE funciona perfectamente, sin embargo lo que quiero es que cada ip privada salga ainternet como ua ip publica DISTINTA (que tenemos en la empresa).

Valdria algo asi?
iptables -t nat -A POSTROUTING -s 192.168.100.11 -o eth0 -j SNAT --to 150.214.182.99

erdanblo
erdanblo #8 Oct '09 Inocente

¿Pero tenéis varias direcciones IP públicas contratadas?

En ese caso no tienes que enrutar.

Edit. Me parece que ya te he entendido...

A ver, tienes varias IP públicas, y varios host, que salen a intenet con su IP Pública, pero además, quieres filtrar lo que pasa por esos equipos, por lo que no te interesa conectarlos directamente.

¿Como os da la IP el proveedor? ¿Dhcp? o ¿son IPs fijas? (Que puedas usar varias IP's públicas != que tengan que ser fijas).

Te diría que probases iptables -t nat -A POSTROUTING -s dir. del host -o eth0 -j MASQUERADE

Pero no le encuentro mucho sentido, además de que Iptables ando frito, ya que enmascarará con la ip que tenga asignada eth0.

** Warning imaginación on **

¿No se podría crear interfaces virtuales?

Por ejemplo, la conexión al modem esta hecha en eth0, un bridge puro y duro, y luego tener

eth0.1
eth0.2
eth0.3
eth0.n

n = el número de ips publicas máximo contratado, dentro de cada esa interfaz colocas las ip's (si son fijas, que parece que sí), entonces lo primero que haces es crear un enrutamiento por ejemplo desde el host 192.168.1.1 a eth0.1, enmascara con la ip de esa interfaz, y acontinuación reenvias el tráfico por eth0 (que es un bridge).

Seguramente sea una burrada, pero por echarle imaginación que no quede:D

Get
Get #9 Oct '09

ifconfig eth0:1 <ip> netmask <mask> up
y asi en adelante para crear las demas :2 :3 :4 etc

segun las virtuales q necesites.

DiosUniverso
DiosUniverso #10 Oct '09

Sí, tenemos contratadas muchas Ip's publicas y además están fijas, asociadas a una MAC.

Y lo que queremos hacer es que a traves de un servidor, salga cada ordenador a Internet, pero en lugar de mosrtar la Ip del servidor, cada uno muestre una Ip publica distinta :/

LO que he hecho es: primero configurar la tarjeta, yo lo hago así, no se si se podra de la otra manera :S

ip addr del 150.214.xxx.122/24 dev eth0
ip addr del 150.214.xxx.102/24 dev eth0
ip addr del 150.214.xxx.254/24 dev eth0
ip link set eth0 up
ip addr add 150.214.xxx.122/24 dev eth0
ip addr add 150.214.xxx.102/24 dev eth0
ip addr add 150.214.xxx.254/24 dev eth0
ip link set eth0 up
route add -net 150.214.xxx.0/24 dev eth0
route add default gw 150.214.xxx.1 dev eth0

Siendo eth0 la interfaz que conecta a internet

Y luego las reglas del iptables

iptables -t nat -A POSTROUTING -s 192.168.100.11/32 -o eth0 -j SNAT --to 150.214.xxx.102
iptables -t nat -A POSTROUTING -s 192.168.100.21/32 -o eth0 -j SNAT --to 150.214.xxx.254
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to 150.214.xxx.122

Y que pasa? Pues el servidor, que es el 122 se conecta sin problemas, pero luego los demás parece que solo enmascara una de las dos ips y el otro ordenador ya se queda si acceso, me refiero si logra "conectar" la 254 pues solo funciona la 254 en un ordenador y el de la 102 no llega a internet. Si intercambio las reglas ahora funciona el otro ordenador con la 254 y la 102 nada.

Pero si espero un rato y borro todo y emepizo de nuevo si coge la 102 la 254 es la qno funciona (con no funcionar es q no le hace el SNAT y el rodenador q l toka no funciona)

E conclusion que solo es capaz de hacerlo con una ip:S

Usuarios habituales

  • DiosUniverso
  • Get
  • erdanblo
  • PiTaGoRaS
  • c0ira