[LUG.ro] Problemas con la cadena INPUT de IPTABLE... [SOLUCIONADO]

Mario Oroz jmoroz en uol.com.ar
Mie Dic 16 11:51:33 ARST 2009


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Sebastian Dominguez escribió:
> Mario Oroz escribió:
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>> Hola,
>> Tengo en un gateway un firewall con 2 interfaces eth0(LAN) y
>> ppp0(internet)
>> Las politicas son:
>> INPUT -> DROP
>> FORWARD -> DROP
>> OUTPUT -> ACCEPT
>>
>>
>> Necesito conectarme via ssh desde dentro de la LAN y desde el gateway
>> a la ip
>> publica del gateway en la interface ppp0 de internet.
>>
>> Al ver que esto quedaba muerto y daba time-out:
>>
>> gate:/usr/local/bin# ssh -vvv midom.com.ar
>> OpenSSH_3.8 Debian, OpenSSL 0.9
>> debug1: Reading configuration data /etc/ssh/ssh_config
>> debug2: ssh_connect: needpriv 0
>> debug1: Connecting to midom.com.ar [200.17.27.58] port 22.
>> debug1: connect to address 200.17.27.58 port 22: Connection timed out
>> ssh: connect to host midom.com.ar port 22: Connection timed out
>>
>> Porbé estas reglas pero no pasa nada, sigo sin conectarme:
>>
>> $IPTABLES -A INPUT -i ppp0 -s $INET_IP -d $INET_IP -p tcp -m state
>> --state NEW
>> - --dport 22 -j ACCEPT
>>
>> $IPTABLES -A OUTPUT -o ppp0 -d $INET_IP -s $INET_IP -p tcp -m state
>> --state NEW
>> - --dport 22 -j ACCEPT
>>
>> Si cambio la política por defecto de INPUT -> ACCEPT logro conectarme
>> desde el
>> gateway y desde los clientes en la LAN
>>
>> alguien que me tire una idea...
>>
>> Saludos
>> Mario.
>>   

> Contanos como anda la cosa ;)

Bueno, gracias a lo que me comentaste bien...
Al final de la cadena INPUT agregue esto:

$IPTABLES -A INPUT -i $LO_IFACE -d $INET_IP -p tcp -m state --state NEW --dport
22 -j ACCEPT

$IPTABLES -A INPUT -i $LOCAL_LAN_IFACE -d $INET_IP -p tcp -m state --state NEW -
- -dport 22 -j ACCEPT

Esto hizo que me conectara desde el mismo gateway y desde la LAN al servicio ssh
escuchando en la ip fija que tengo en la interface ppp0 conectada a internet.

El tema siempre fue que desde afuera; de internet, podía hacer "ssh
midom.com.ar" y conectaba, usando autenticación por clave publica/privada.
Pero no podía desde dentro de la LAN ni del gateway... así que suponía errores
de resolución de nombres, lo cual era erroneo.

AER me dio una mano al proponerme que al comando ssh le pidiera mas detalle
"-vvv" en lo que hacia, y ahí caí, cuando vi que resolvia bien la ip del
dominio; lo que no me dejaba era el firewall, y mas precisamente el problema
estaba en la cadena INPUT, con su politica por defecto en DROP.
Coloque las reglas al final de la INPUT, así no jodo las reglas anteriores, ya
que tengo entendido que los paquetes van intentando machear las mismas, y si
coincide con alguna no prosigue con las demás.


Gracias, SebaM y EmilianoN

Saludos.
Mario.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkso5eUACgkQYT+KMx1V+VxOpQCgv1fQGboek1ZS2SoTNg95uYu4
aSAAn1i3LZjjDqQ1eLnJvTRo0inkoHp3
=HRtg
-----END PGP SIGNATURE-----


Más información sobre la lista de distribución Lugro