iptables en ubuntu server 18.04.02 (muy tecnico)

  • Autor Autor DiCHANHO
  • Fecha de inicio Fecha de inicio
DiCHANHO

DiCHANHO

Delta
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
Hola betas, una consulta haber si me pueden orientar, porque esta parte no la estaría entendiendo a la hora de routear puertos WAN a red interna en LAN y llevo semanas.

Yo hago el dnat y snat correspondiente, y funciona todo perfecto. Pero a partir de ese momento, dejo de tener control sobre el trafico de ese puerto, es decir, no logro hacer funcionar por ejemplo un -m connlimit --connlimit-above 2 sobre el puerto en cuestión ya sea que lo ponga antes o después del dnat/snat y tampoco puedo utilizar el --limit 1/minute --limit-burst 2 y incluso el -m recent --update --seconds 15 --hitcount 2 entre los más conocidos con --syn etc.

Alguna idea?. De momento se me ocurre meter otras directivas en la red lan en cuestión que recibe el trafico del puerto final. PERO me gustaría filtrar por mas seguridad todo antes de que llegue a destino. ¿es posible?, además uso políticas drop! pero al meter los dnat y snat los puertos quedan abiertos permanentemente al realizar la redirección.

PREROUTING
dnat = --to-destination

POSTROUTING
snat = --to-source

Un usuario me paso el CSF pero realmente aunque están todas los filtros, jamas funciono la redirección dnat y snat, aunque ponga los puertos abiertos, no se abren siquiera.. por lo que tuve que volver a iptables directo. Tampoco pude usar la configuración manual de dnat y snat en CSF, ni antes ni después de su carga, es como si no estuviese.

Saludos y gracias por leer!
 
Esta es una buena pregunta para hacer en serverfault o en superuser, no creo que en este foro principalmente de marketing, encuentres ayuda rápidamente. Como dato interesante, hace 15 años, intente montar una historia grande con un servidor iptables para controlar el tráfico de edonkey2000 en un edificio de vecinos, y resultó un autentico fracaso: ese día me di cuenta que lo mio no eran las redes 🤣
 
Gracias , buscaré esos sitios!
 
Eso depende de que otro servicio como UFW no este interfiriendo con las reglas que estas estableciendo en CSF @DiCHANHO

Si estas aplicando reglas DNAT deberían ir sin problema alguno con CSF así evitar todo ese trabajo manual via command line/iptables.
 
esto es extraño, el UFW esta desabilitado y el fail2ban no esta instalado

Con CSF no lo he logrado.. ni siquiera llegar a hacer el DNAT > SNAT.. en cambio manualmente si lo he logrado, pero si bien funciona, no he encontrado forma de proteger/limitar los accesos a esos puertos.. por ip y en total etc antes de reject o drop. Hoy me di cuenta que entrando a las aplicaciones que corren en los puertos de la dnat los ips de cada usuario, son la ip wan... así que si baneo a 1 , banea a todos.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Mormai
  • Cerrado
Se solicita Sysadmin que conozca sobre iptables en ubuntu
Respuestas
3
Visitas
113
OscarS
OscarS
Atrás
Arriba