Gateway de red. (NAT y Forwarding) [Solucionado]
DesconectadoHola gente tengo una duda hace bastante
yo empese a trabajar en un lugar que tiene 2 servidores con debian y 1 con windows server, y me preocupa el tema de los debian porque yo soy el que mas entiende del asunto y nose configurarlos como esta ahora
mira estoy armando una maquina para que sea la suplente de uno de los servidores con debian
la tarea que cumple ese server es esta: ( es la info que me dejo el chico que estaba antes)
General:
Nombre del host: 78-8lr8v
Procesador(es):1 x Pentium II (Deschutes) @ 350MHz
Memoria: 63MiB
Alamacenamiento:
Disco #0:
Maxtor 90422D2
/dev/hda
4028MiB (4223MB)
Interfaces de Red (x2):
Interfaz de red #0 (eth0)
Dirección IP:
Mascara de subred: 255.255.255.248
Puerta de enlace predeterminada:
Direccion MAC:
Interfaz de red #1 (eth1)
Direccion IP:
Mascara de subred: 255.255.255.0
Puerta de enlace predeterminada: Ninguna
Direccion MAC:
Sistema Operativo:
Nombre: GNU/Linux Debian
Version: K 2.6.26-2-686 \ debian 5.0.3 codename “lenny”
Roles y servicios que ofrece este servidor en la red local e internet:
Gateway de red. (NAT y Forwarding)
Mediante este equipo los equipos de la red logran ‘conectarse’ a Internet, a todos los protocolos (ftp, ftps, smtp, pop3, etc.) excepto http, ya que para eso esta el Proxy web-cache (deer).
Firewall
Configuración del firewall:
/etc/init.d/iptables
Log del firewall:
/var/log/dropped.iptables.log
/var/log/flood.iptables.log
*Acceso por SSH. TCP/22
EL OTRO DEBIAN OFRECE ESTO
Roles y servicios que ofrece este servidor en la red local e internet:
Servidor DNS Secundario:
Zonas tranferidas desde el DNS primario (MS DNS):
Archivos de configuracion del servidor (bind9) @ /etc/bind/*
Servidor Proxy web-cache (Squid Version 2.7.STABLE3)
Servidor Web (Apache/2.2.9)
Y LA QUE TIENE WINDOWS SERVER
Roles que cumple y servicios que ofrece este servidor en la red:
Controlador de dominio
Servidor DNS Primario:
Y demas zonas relacionadas con AD, etc. (generadas autom.)
Servicio DHCP
Servidor de archivos con quotas
Servidor de correo (Exchange 6.5 \ SP2)
Servidor SQL 2005 \ SP2
a lo que voy es que quiero tener respaldo de los debian aparte de hacerles imagenes quiero tener otras pc backup, pero nose que tengo que copiar de la orgina a la back up para que funcione lo mas parecido, por ejemplo en la primer debian copio el archivo interfaces asi tengo la mismo ip en las placas, y pensaba la configuración de iptables, pero nose donde esta eso ni como se hace, si alguien me puede ayudar se lo agradezco muchisimo
- Inicie sesión o regístrese para enviar comentarios
- 1649 lecturas
General:
Nombre del host: 78-8lr8v
Roles y servicios que ofrece este servidor en la red local e internet:
Gateway de red. (NAT y Forwarding)
Mediante este equipo los equipos de la red logran ‘conectarse’ a Internet, a todos los protocolos (ftp, ftps, smtp, pop3, etc.) excepto http, ya que para eso esta el Proxy web-cache (deer).
Firewall
Configuración del firewall:
/etc/init.d/iptables
Log del firewall:
/var/log/dropped.iptables.log
/var/log/flood.iptables.log
*Acceso por SSH. TCP/22
Por lo pronto, primero en la máquina que estás preparando como "respaldo redundante" de la primera debes tener funcionando correctamente el ssh.
Si observas la info que te dejó el "administrador prófugo" en /etc/init.d/ tiene un script que levanta las reglas de iptables, estas pueden estar en el mismo script o pueden estar en otro archivo; hacele un cat al script /etc/init.d/iptables y leelo para saber si son las reglas puras o si encuentras un path hacia el archivo en donde puso las reglas.
Cual sea el caso, copia las reglas y/o el script iptables y guardalo/s en la home de root de tu máquina de respaldo.
Esta máquina está nateando, por lo que tambien hace ipforward (lo puedes comprobar con un cat /proc/sys/net/ipv4/ip_forward), fijate si en el script iptables o en el archivo de reglas si hace el ipforward.
Vas a tener que leer bastante sobre servicios para dejar andando todo correctamente, solo te presento por dónde empezar.
Nastardes.
bueno cuando hago el cat a iptables sale esto
#!/bin/bash
modprobe nf_conntrack_ftp
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z
iptables -N FLOOD
iptables -F FLOOD
iptables -A FLOOD -m limit --limit 30/second --limit-burst 60 -j RETURN
iptables -A FLOOD -m limit --limit 30/second --limit-burst 60 -j LOG --log-prefix "FLOOD: "
iptables -A FLOOD -j DROP
iptables -N PKT_FAKE
iptables -F PKT_FAKE
iptables -A PKT_FAKE -m state --state INVALID -j DROP
iptables -A PKT_FAKE -p tcp ! --syn -m state --state NEW -j DROP
iptables -A PKT_FAKE -f -j DROP
iptables -N FLAG_SCAN
iptables -F FLAG_SCAN
iptables -A FLAG_SCAN -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL FIN -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags SYN,FIN,PSH SYN,FIN,PSH -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags SYN,FIN,RST SYN,FIN,RST -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags SYN,FIN,RST,PSH SYN,FIN,RST,PSH -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL ALL -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A FLAG_SCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -N LOGDROP
iptables -A LOGDROP -j LOG --log-level 7 --log-prefix "DROPPED: "
iptables -A LOGDROP -j DROP
## -t filter OUTPUT ##
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT
## -t filter INPUT ##
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j FLAG_SCAN
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j FLOOD
iptables -A INPUT -j PKT_FAKE
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT #ssh
## -t filter FORWARD ##
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j FLAG_SCAN
# [SERVERS]
# dell #
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.6 -p udp --dport 53 -j ACCEPT
# e-corp #
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone2.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone4.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s mailserver02.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone3.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone10.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone5.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s e-zone2.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s relay.e-corp.net.ar. -d 192.168.0.6 -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A FORWARD -i eth0 -o eth1 -s 190.210.60.201 -d 192.168.0.6 -p tcp --dport 3389 -j ACCEPT
# [LAN]
# (-) 1024
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT #ftp
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 25 -j ACCEPT #smtp
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 110 -j ACCEPT #pop3
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT #ntp
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 143 -j ACCEPT #imap
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p udp --sport 1024:65535 --dport 143 -j ACCEPT #imap
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 443 -j ACCEPT #https
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 465 -j ACCEPT #SMTP/SSL
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 587 -j ACCEPT #SMTP/SSL
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 989 -j ACCEPT #FTP/SSL
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 990 -j ACCEPT #FTP/SSL
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 993 -j ACCEPT #IMAPS
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 995 -j ACCEPT #POP3S
# (+) 1024
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -p tcp --sport 1024:65535 --dport 1863 -j ACCEPT #MSN
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.153 -d alastorp3.homeip.net -p tcp --dport 3389 -j ACCEPT
## -t nat PREROUTING ##
#dell
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.0.6:25 #smtp
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.6:3389 #rdp
# do MASQ #
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j MASQUERADE
iptables -A INPUT -j LOGDROP
#iptables -A OUTPUT -j LOGDROP
iptables -A FORWARD -j LOGDROP
y cuando hago cat /proc/sys/net/ipv4/ip_forward en la pc BACKUP me da 0 en la original me da 1
bueno cuando hago el cat a iptables sale esto
#!/bin/bash
...
y cuando hago cat /proc/sys/net/ipv4/ip_forward en la pc BACKUP me da 0 en la original me da 1
El archivo iptables del server debes copiarlo al home de root de tu máquina redundante (para tener una copia de él disponible, por las dudas) y copiarlo tambien en /etc/init.d/ (con los mismos permisos usuario y grupo que en el server).
Con respecto a ipfordward, el 0 de tu máquina redundante significa que NO deja pasar paquetes y el 1 del server significa que SI. Por el momento lo solucionas haciendo un echo 1 > /proc/sys/net/ipv4/ip_forward.
El server tiene dos placas de red (eth0 para todo y eth1 para ssh); tu máquina redundante debe tener las dos placas configuradas como el server (/etc/network/interfaces).
Con esto deberían comportarse de forma similar, aunque te faltará configurar los servicios en tu máquina redundante.
Nastardes.
bueno entonces lo que voy a hacer es copiar via SSH desde ubuntu que me deja navegar en forma visual por las carpetas el archivo iptables tanto a init.d y home por si las moscas
gracias por la ayuda amigo
antes de reiniciar la pc para ver si toda va como debe, como es el tema de los permisos, en teoria no tendria que tocar nada ya solo lo tiene que tener si lo copie no?
bueno entonces lo que voy a hacer es copiar via SSH desde ubuntu que me deja navegar en forma visual por las carpetas el archivo iptables tanto a init.d y home por si las moscas
gracias por la ayuda amigo
También revisa cómo está route en el server, aunque parece ser que trabaja todo por nat en iptables, no pierdes nada en chequearlo y tenerlo igual en tu máquina redundante.
Nastardes.
bueno entonces lo que voy a hacer es copiar via SSH desde ubuntu que me deja navegar en forma visual por las carpetas el archivo iptables tanto a init.d y home por si las moscas
gracias por la ayuda amigo
También revisa cómo está route en el server, aunque parece ser que trabaja todo por nat en iptables, no pierdes nada en chequearlo y tenerlo igual en tu máquina redundante.
Nastardes.
si lo que queres decir es por las interfaces, lo voy a dejar exactamente igual para que no alla confusión hasta las 2 pc se llaman de la misma manera y tienen los mimos usuarios y contraseñas
antes de reiniciar la pc para ver si toda va como debe, como es el tema de los permisos, en teoria no tendria que tocar nada ya solo lo tiene que tener si lo copie no?
Ah, bueno, GNU Básico:
# ls -l /etc/init.d/iptableste dará un resultado como:
-rwxr-xr-x 1 root root ...Son tres bloques de permisos rwx, el primer bloque son los permisos del propietario, el segundo para el grupo del propietario y el tercero para los demás (quienes no son el propietario ni pertenecen a su grupo).
Se los permisos establecen con chmod (man chmod para aprender de permisos) y el dueño y grupo con chown (man chown para aprender sobre propietarios y grupos).
antes de reiniciar la pc para ver si toda va como debe, como es el tema de los permisos, en teoria no tendria que tocar nada ya solo lo tiene que tener si lo copie no?
Ah, bueno, GNU Básico:
# ls -l /etc/init.d/iptableste dará un resultado como:
-rwxr-xr-x 1 root root ...Son tres bloques de permisos rwx, el primer bloque son los permisos del propietario, el segundo para el grupo del propietario y el tercero para los demás (quienes no son el propietario ni pertenecen a su grupo).
Se los permisos establecen con chmod (man chmod para aprender de permisos) y el dueño y grupo con chown (man chown para aprender sobre propietarios y grupos).
si eso lo se yo te pregunte si se cambia los permisos al copiar via ssh desde ubuntu
bueno entonces lo que voy a hacer es copiar via SSH desde ubuntu que me deja navegar en forma visual por las carpetas el archivo iptables tanto a init.d y home por si las moscas
gracias por la ayuda amigo
También revisa cómo está route en el server, aunque parece ser que trabaja todo por nat en iptables, no pierdes nada en chequearlo y tenerlo igual en tu máquina redundante.
Nastardes.
si lo que queres decir es por las interfaces, lo voy a dejar exactamente igual para que no alla confusión hasta las 2 pc se llaman de la misma manera y tienen los mimos usuarios y contraseñas
No, además de eso:
# routete muestra como está dispuesto el enrutamiento de paquetes entre redes y pasarelas, supongo que no debe tener nada raro porque lo debe estar manejando por reglas de iptables, pero deberías verificar que también esten iguales en las dos máquinas.
La man de route te dice como hacerlo.