Duda con reglas iptables



  • Buenos días…

    Tengo una duda para pasar unas reglas de iptables a pfsense... como pasarían estás reglas:

    "
        $IPTABLES -N Cid15160X1575.0
        $IPTABLES -A FORWARD -i eth1  -p tcp -m tcp  -s 192.168.2.29  --dport 9100  -j Cid15160X1575.0
        $IPTABLES -N In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.2.160  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.5.150  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.6.31  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.8.200  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.10.2  -j In_RULE_6
        $IPTABLES -A In_RULE_6  -j LOG  --log-level debug --log-prefix "LAN_LOG"
        $IPTABLES -A In_RULE_6  -j ACCEPT
    "

    Muchas gracias y saludos!



  • Buen día

    No soy experto en iptables, pero si nos dices que hacen esas reglas, o que propósito tienen, te podemos ayudar más fácil para crearlas en Pfsense, aunque parecieran como de NAT o redirección, con activación de logs sobre la regla creada que tiene aliases.



  • lamentablemente el sysadmin anterior creó todas las reglas con un programa llamado "firewall builder" y CREO que estas reglas redireccionan las conexiones a unas impresoras, me ha costado mucho pasar de CentOS a pfSense por eso mismo, es muy complicado entender las reglas con ese tipo de cadenas "Cid15160X1575.0" no dice mucho

    saludos



  • Buen día

    Por seguridad, si no sabes exactamente que hacen esas reglas te recomiendo que empieces todo de 0, así tienes el control total de lo que se está implementando, reduciendo riesgos de seguridad.



  • Hola

    Puedes usar Firebuilder para convertir iptables a PF (el firewall que corre en FreeBSD/pfSense). Pero esta utilidad está diseñada para generar ficheros que trabajen en consola (shell). Y pfSense está orientado a GUI. Aunque siempre ayuda la conversión a entender las reglas.

    Una ref http://serverfault.com/questions/228313/how-to-go-from-iptables-to-pf

    Respecto a las reglas: ( https://wiki.archlinux.org/index.php/Iptables_%28Espa%C3%B1ol%29 )
    (si no recuerdo mal iptables)

    $IPTABLES -N Cid15160X1575.0

    Crea una cadena o registro

    $IPTABLES -A FORWARD -i eth1  -p tcp -m tcp  -s 192.168.2.29  –dport 9100  -j Cid15160X1575.0

    Hace un Port-Forward (NAT) con origen 192.168.2.29 puerto destino tcp9100 a interfaz eth1

    o viceversa no recuerdo de memoria la sintaxis de iptables

    $IPTABLES -N In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.2.160  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.5.150  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.6.31  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.8.200  -j In_RULE_6
        $IPTABLES -A Cid15160X1575.0  -d 192.168.10.2  -j In_RULE_6
        $IPTABLES -A In_RULE_6  -j LOG  --log-level debug --log-prefix "LAN_LOG"
        $IPTABLES -A In_RULE_6  -j ACCEPT

    #Crea la cadena In_Rule_6 y define que las IPs con destino 192.168.2.160, etc, su tráfico sea aceptado

    De todas formas yo haria lo que te dice Aleximper, si el técnico de sistemas que diseño la política de filtrado del firewall no está, lo mejor es empezar de 0.

    Salu2



  • Eso estoy haciendo, creando todo desde cero, al final creé alias con las ip y reglas en la LAN

    Gracias!


Log in to reply