${IPTABLES} -t nat -A PREROUTING -p tcp --destination-port 53 -j DNAT --to-destination 192.168.1.53
${IPTABLES} -t nat -A PREROUTING -p udp --destination-port 53 -j DNAT --to-destination 192.168.1.53
- falta -s! 192.168.1.53, para que no se produzca el bucle de petición a internet.(host nuevo)
- falta en todas las intrucciones -i pp0
- Cuado hay un accept , se para el filtro.
${IPTABLES} -t filter -A INPUT -s 172.19.0.0/24 -p tcp --destination-port 80 -j DROP
${IPTABLES} -t filter -A INPUT -s 172.19.0.0/24 -p tcp --destination-port 443 -j DROP
${IPTABLES} -t filter -A INPUT -s 172.19.0.0/24 -j ACCEPT
- Faltaria una regla antes de estas, para permitir la conexion a internt, porque en la web-cache no tiene internet:
- iptables -t filter -A INPUT -s 172.13.0.2 /24 -- destination-port 80 -j ACCPET
#Nat Client Network
${IPTABLES} -t nat -A PREROUTING -s 172.19.0.0/24 -j MASQUERADE
- Necesitas masquerade para que pueda salir a internet : SNAT
${IPTABLES} -t filter -A INPUT -m state – -state RELATED,STABLISHED -j ACCEPT
- si el paquete tiene que ver con una conexion o con un paquete q ya pasó, lo dejas pasar a el también
#load required drivers for masquerading/connection tracking
$MODPROBE nf_conntrack_ftp
$MODPROBE nf_nat_ftp
- hay q tener modulos especificos, hay q cargarlos..en general hay q hacer esto con STP
- PAra saber q modulos de NAT tenemos : nf_contrack (tabulador)
- se vacian las tablas
- se ponen las policitcas por defecto
- se puede abreviar las ultimas 5 opciones de -t filter y -t nat
- elimiar los modulos
- el restart : $0->es el nombre del propio script ( paras y volver a arrancar)
(Iptables-save)--> vuelca tus tablas por salida estandar, todo tu firewalling y lo puedes guardar en n fichero. iptables-save > fichero
(iptables-restore)-->coje ese fichero y lo restaura
No hay comentarios:
Publicar un comentario