Manual Iptables
41
SERVIDOR FIREWALL IPTABLES POR: DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRÈS FELIPE DEOSSA INSTRUCTOR FERNANDO QUINTERO ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA
-
Upload
cesar-pineda -
Category
Technology
-
view
4.767 -
download
6
Transcript of Manual Iptables
SERVIDOR FIREWALL IPTABLES
POR:
DEYSSY ARICAPA ARAQUE
CESAR PINEDA GONZALEZ
ANDRÈS FELIPE DEOSSA
INSTRUCTOR
FERNANDO QUINTERO
ADMINISTRACION DE REDES DE COMPUTADORES
REGIONAL ANTIOQUIA
SENA
2009
INTRODUCCION
En este escenario podemos ver una herramienta que posee unas cualidades las cuales nos brinda las necesidades para cumplir con los objetivos de este escenario.
La importante de saber como es la estructura de las reglas como funciona, además de saber las definiciones de las cadenas como es un prerouting, posrouting, inpunt output. Forward, mas las tablas que se debe implementar para que nos funciones nuestro iptable.
El implementar herramientas tan potentes con licenciamiento libre nos ofrece la ventaja de mantener segura nuestra red con tan solo saber del manejo adecuado de la herramienta lo cual favorece tanto para la compañía como para los administradores de red de la misma.
IPTABLE
Es un filtro y manipulador de paquetes IP. Que se denomina PACEKT FILTER, por que todas las operaciones que realiza la hace sobre paquetes de red, Y nos permite realizar NAT para que las maquinas de la red LAN puedan acceder a Internet.
Las reglas de iptable se agrupa en cadena y las cadenas en tablas, y las tablas están asociadas a un tipo de procesamiento de paquetes.
CARACTERISTICAS DE IPTABLE
Filtrado de paquetes Por protocolos, puertos, IP… Por estado de los paquetes (connection tracking) Network Address translation (NAT) Infraestructura flexible y entendible Capacidad de añadir funcionalidades mediante parches
CADENA: una cadena es un conjunto de reglas para paquetes IP, que determina lo que se debe hacer con dicho paquete.
TABLAS: Las tablas son contenedores de cadenas, existen 3 tipos de tablas las cuales son:
Iptable_filter.
Iptable_nat.
Iptable_mangle
IPTABLE_FILTER: Llamada también la tabla de filtro, encargada de filtrar todos los paquetes, este filtrado se logra gracias a una serie de cadenas que la compone, las cuales son:
INPUT (entrada) OUTPUT (salida)
FORWARD (reenvió)
Entrada --> Enrutamiento ------> FORWARD ------> Salida --> | ^ V |
INPUT OUTPUT | ^ | | +----------> PC Local ------------+
El enrutamiento no es mas que decidir si el paquete esta dirigido hacia la propia PC o hacia una red externa, en caso de ser para la propia red, pasaría por la cadena de INPUT (entrada), de lo contrario por la de FORWARD (reenvió).Todo paquete generado localmente pasa por la cadena OUTPUT (salida).REGLA: Es la que indica que sucederá con el paquete. Estas reglas siguen un orden, el cual depende del orden en que son ingresadas, por lo tanto es el orden a seguir cuando se evaluaran a los paquetes.
DESTINO: Llamaremos destino a la acción a realizar con un paquete, según una regla dada, por defecto los destinos son:
ACEPT: Permite el paso del paquete. QUEUE: Provoca que el paquete sea transferido a una cola de espera,
para que sea revisado. RETURN: Implica volver a la cadena anterior. DROP: Desecha completamente el paquete. Sin mandar acuse de
recibo.
IPTABLE_NAT: Su utilidad es hacer NAT (Traducción de dirección de red), con el fin de dar salida a Internet a una red LAN con dirección IP privada, por una única IP pública. Posee tres cadenas por defecto las cuales son:
---> PREROUTING --> Enrutamiento --> FORWARD --> POSTROUTING --->| ^V |
INPUT OUTPUT| ^| |
+-------> PC Local ------>---+
OUTPUT: Es idéntica a la utilizada en iptable_filter en cuanto al papel que representa, la diferencia radica en las demás cadenas que posee esta tabla.
PREROUTING: (pre-ruteo): POSTROUTING: (post-ruteo):
IPTABLE_MANGLE: Esta nueva tabla posee todas las cadenas antes mencionadas, con el fin de modificar cualquier aspecto conocido, de un paquete dado.
SINTAXIS:
Para trabajar con una tabla en especial se especifica con el comando:
-t nombre_tabla
Para crear una nueva cadena:
-N nombre_cadena
Ver cadenas existentes:
-L nombre_cadena
Eliminar una cadena:
-X nombre_cadena
Agregar regla a una cadena al final:
-A regla_deseada
Agregar regla a una cadena al principio:
-I regla_deseada
Eliminar una regla, ya sea por el nombre o número de orden.
-D numero_de_regla
-D regla_deseada (recordar enunciado de la misma)
Eliminar todas las reglas:
-F cadena
Eliminar extensiones del sistema los cuales llevan cuenta de ciertos paquetes:
-Z cadena
Reemplazar una regla en una cadena:
-R cadena numero_de_regla
Destino del filtro:
-j destino_valido (ACCEPT o DROP)
Filtrado por protocolo:
-p protocolo (tcp, udp, icmp…)
Filtrado por dirección los paquetes que estén originados por dicha IP:
-s direccion_IP/mascara _ red
Filtrado por dirección los paquetes que estén destinados a dicha IP:
-d direccion_IP/mascara _ red
Filtrado por interfaz de entrada:
-i nombre _ interfaz
Filtrado por interfaz de salida:
-o nombre_interfaz
CONFIGURACION DE IPTABLES:
En la presente configuración de iptable, esta basada en un escenario, el cual procederemos a explicar a continuación:
Como se puede observar en la grafica, tenemos una pequeña red Lan, la cual necesita salir a Internet por medio de un Firewall, el cual va a cumplir con el rol de Gateway, haciendo filtrado de paquetes con las políticas ACCEPT (aceptar) y DROP (denegar) por omisión, también se implementara una zona desmilitarizada la cual va a contener todos los servidores que estarán expuestos permanentemente a INET.
RECURSOS:
1. FISICOS:
Servidor (FW) con tres interfaces de red. Eth0 (LAN) y eth1 (DMZ). Y Eth2 (WAN).
Switch. Usuarios.
2. LOGICOS:
S.O del servidor Linux Debían. Implementación de IPtables. Usuarios en S.O Windows y Linux.
OBJETIVOS:
Desde INTERNET solo es posible entrar directamente al servidor PostgresQL de la LAN, el resto del tráfico hacia la LAN estará denegado.
Puedo entrar a los servidores WEB y de CORREO desde INTERNET y desde la LAN, usando
puertos seguros para descarga y envío de correos. El servidor WEB puede acceder solamente al servidor SQL
SERVER de la LAN. El servidor de CORREO puede acceder únicamente al servidor
de impresión de la LAN. siempre y cuando sea sábado o Domingo.
Los usuarios de la LAN no podrán acceder a los aplicativos que aparecen en el diagrama.
Teniendo claro el trabajo a realizar procederemos a realizar la respectiva configuración.
ACCEPT POR DEFECTO:
HACIENDO NAT:
1. Empezaremos configurando nuestra interfaces las cuales son: eth0 (WAN) y la eth1 (LAN).
Eth0 (WAN) : 192.168.1.2 255.255.255.0 192.168.1.254 172.16.2.62
Eth1 (DMZ): 10.0.0.1 255.0.0.0
Eth2 (LAN): 172.16.0.1 255.255.0.0
Esta configuración la ingresamos en la siguiente ruta:
2. Ahora activaremos el reenvió, para poder hacer NAT. Para esto ingresaremos al archivo ip_forward.
El archivo debe quedar como lo muestra el siguiente pantallaza:
El 1 significa que esta activa la opción ip_forward, pero temporalmente, ya que cuando apaguemos o reiniciemos nuestro equipo volverá a configurarse la opción por defecto (0), para evitar que esto suceda y no tener que estar ingresando a esta ruta a modificar el 0 por el 1, haremos que nuestra maquina la cargue por defecto y no cambie nuestra configuración.
3. Para ello, ingresaremos a la siguiente ruta:
E ingresamos la siguiente línea: net.ipv4.ip_forward=1
4. Ahora veremos las reglas que tiene nuestro ip_table ejecutando el siguiente comando:
El cual nos deberá aparecer algo similar a esto:
Esto nos quiere decir que el firewall esta aceptando todos los paquetes, o lo que es lo mismo, no filtra absolutamente nada, esto nos indica dos cosas:
Las 3 cadenas (INPUT, FORWARD, OUTPUT) están vacías.
Las 3 cadenas tiene como política default ACCEPT.
NOTA: Recordemos que estamos implementando la configuración de default ACCEPT, por lo cual el escenario en el que lo estamos desarrollando no nos pide hacer ningún tipo de filtrado de paquetes, ni de protocolos, por lo que ahora pasaremos a hacer una regla NAT para dar salida a Internet a nuestros usuarios.
5. Para hacer el respectivo NAT ejecutamos el siguiente comando:
Iptables -t nat : Esto nos indica a que tabla le vamos a aplicar dicha regla, en este caso sera a la de nat.
-s 172.16.0.0/16: Esto nos indica la interfaz de entrada, la cual va a hacer la de nuestra LAN.
-A POSTROUTING: Esto nos indica la regla a implementar, la cual va a hacer post_ruteo, o sea que todas las peticiones que vengan desde la LAN hacia otra red le haga ruteo a la interfaz eth0
-o eth0: Esta nos indica la interfaz de salida, la cual es la que nos comunicara a la Internet, en nuestro caso es la eth0.
-j MASQUERADE: Esto nos indica la acción a realizar a dicho paquete,la cual va a ser enmascarar los paqutes de la LAN que vayan hacia una red distinta con la IPpublica, esto con el fin de lograr salir a Internet.
MASQUERADE: Es enmascarar los paquetes de la Lan que vayan hacia la red WAN, para que puedan salir con una unica IP publica.
6. Ahora visualizaremos nuestra tabla IPtable para verificar que si haya cogido nuestra nueva regla ejecutando: iptables –t nat –n -L
Respectivamente, nos quedo la nueva regla definida y quiere decir que todos los paquetes que vengan desde la red 172.16.0.0/16 y con destino a cualquier red, sean enmascarados.
7. Realizaremos las respectivas pruebas con uno de nuestros usuarios, cabe aclara que el usuario se conectara a un switch, y el switch a la interfaz eth1 de nuestro firewall.
NOTA: Como no implementamos un servicio DHCP la configuración de la tarjeta de red de nuestro usuario se hará de manera statica.
8. Ingresamos a la configuración de nuestra tarjeta de red:
9. Pondremos una dirección statica, en el rango que esta configurada en la interfaz eth1 de nuestro Firewall.
NOTA: La puerta de enlace va a hacer la IP que esta configurada estáticamente en la interfaz eth1 de nuestro Firewall.
10. Antes de intentar salir a Internet desde nuestro navegador, haremos pruebas de conectividad primero hacia nuestra puerta de enlace predeterminada. Esto con la herramienta de ping. Ejecutaremos desde una consola de Windows el comando ping.
Como vemos en el pantallaso, le damos ping a nuestro Gateway, el resultado es exitoso, o sea el host es alcansable por nuestra maquina.
Procederemos a darle ping a la interfaz de salida del Firewall o sea la eth0
De nuevo la prueba es exitosa, o sea si es alcanzada por nuestra maquina.
11. Listo ahora si abriremos nuestro navegador favorito y trataremos de conectarnos a google.
Perfecto, ya configuramos el NAT para poder acceder a la WAN desde nuestra LAN, para dar salida a nuestra DMZ hacemos la siguiente regla:
Iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
En la cual dice: toda comunicación que venga desde el origen 10.0.0.0/8 hacia interfaz eth2 (WAN) la acción es MASQUERADE (enmascarar o sea reemplazar la IP privada para que salga con la IP publica del firewall).
Ahora procederemos a generar las reglas para cumplir con los requisitos del escenario.
ACCEDIENDO DESDE INTERNET A SERVIDOR PostgresQL de la LAN.
En nuestra LAN estará corriendo un servidor PostgerQL, el cual se le aceptaran las peticiones que vengan desde la WAN hacia el servidor.
Para crear dicha regla accederemos al archivo de configuración del iptables con un editor de texto plano.
#nano /etc/rc.local
Este archivo debe contener lo siguiente:
#!/bin/sh -e## rc.local## This script is executed at the end of each multiuser runlevel.# Make sure that the script will "exit 0" on success or any other# value on error.## In order to enable or disable this script just change the execution# bits.## By default this script does nothing.
#Vaciar y reiniciar las tablas actuales
iptables -Fiptables -Xiptables -Z
#Borra tablas NAT
iptables -F -t nat
#Establecemos Politicas por Defecto
iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P -t nat POSTROUTING ACCEPTiptables -P -t nat PREROUTING ACCEPT
echo Definicion de Variables
tar_EXTERNA="eth2"tar_LAN="eth0"tar_DMZ="eth1"red_Externa="192.168.1.0/24"ip_Externa="192.168.1.2"red_LAN="172.16.0.0/16"ip_LAN="172.16.0.1"ip_PostgreSQL="172.16.0.10"ip_SQL="172.16.0.20"ip_Impresion="172.16.0.30"red_DMZ="10.0.0.0/8"
ip_Web="10.0.0.10"ip_Correo="10.0.0.20"
#Reenvio de Paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Acceso de la LAN a internet
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADEiptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
Hasta ahora, ya que apenas le hemos especificado las reglas por defecto ACCEPT, y las de Enmascaramiento.
Para ingresar nuestra nueva regla hay que tener en cuenta el orden de las mismas en el archivo, ya que el iptables cumplira las que estan de primeras y posteriormente las que le sigen. Empesemos a aplicar las reglas:
NOTA: Antes de aplicar una regla, especificaremos con un comentario concreto y claro para que sirve dicha regla, esto nos evitara dolores de cabeza a la hora de resolver un problema.
Empecemos a aplicar las reglas:
Explicación:
La regla dice: Todo lo que venga hacia la interfaz WAN por el protocolo tcp, Puerto 5432 la acción es redireccionarlo hacia la IP del servidor PostgreSQL 172.16.0.10 por el Puerto 5432.
NOTA: La regla para definir los estados estará siempre presente en todas las reglas que implementaremos en ACCEPT por defecto, la cual significa que toda comunicación con estado relacionado, establecida, la acepte, esto con el fin de minimizar el consumo de recurso de maquina, axial se evitaría el firewall estar filtrando continuamente la misma comunicación.
ACCEDIENDO DESDE LA RED LAN A SERVIDOR WEB Y CORREO DE LA DMZ POR SSL
Ahora crearemos la regla que permita las comunicaciones de la LAN al servidor WEB y CORREO de la DMS.
Explicación:
todo lo que venga desde el rango de red 172.16.0.0/16 (LAN) con destino la IP 10.0.0.10 (Servidor WEB de DMZ) y puerto 443 (WEB seguro) la acción es Aceptar.
Todo lo que venga desde la red 172.16.0.0/16 hacia la 10.0.0.20 por el protocolo tcp y puerto 465 la acción es aceptar.
Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 993 la acción es aceptar.
Todo lo que venga desde el rango de red 172.16.0.0/16 con destino 10.0.0.20 por el protocolo tcp y puerto 995 la acción es aceptar.
NOTA: Como la comunicación se establece desde la red interna no se redirecciona los paquetes, ya que las redes de origen y destino estan directamente conectados al firewall y las peticiones entre ambas redes se producen con sus respectivas IPS privadas lo cual no necesitan salir a la red Externa lo que no es necesario hacer un redireccionamiento.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO Y WEB DE LA DMZ POR SSL
Ahora crearemos las reglas para poder que desde la WAN se tenga acceso a servidores de WEB y CORREO de la DMZ: Quedarían así:
EXPLICACION:
Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 443 redireccionalo al equipo con la IP 10.0.0.10 por el puerto 443.
Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465
Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 993 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 993
Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 465 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 465
Todo lo que venga desde cualquier red con destino al firewall, por el protocolo tcp y puerto 995 lo redireccione al equipo con la IP 10.0.0.20 por el puerto 995
ACCEDER DESDE SERVIDOR WEB DE LA DMZ AL SERVER SQL DE LA LAN
Ahora haremos que el servidor Web de nuestra DMZ tenga acceso al servidor SQL de la LAN.
EXPLICACION:
Todo lo que venga desde el equipo 10.0.0.10 para el equipo 172.16.0.20 por el protocolo tcp y puerto 1432 la acción es aceptar.
Terminada de definir las reglas, guardamos y recargamos nuestro archivo de configuración con el siguiente comando para verificar que las líneas estén correctamente configuradas:
# sh –x rc.local
NOTA: Con el anterior comando se cargan las reglas en memoria y se verifican si están correctamente configuradas.
REGLA DENEGAR POR DEFECTO:
Terminada la creación de las reglas con ACCEPT por defecto pasaremos a crear las mismas reglas pero ya con la regla por defecto DROP, para esto se requiere un poco mas de paciencia y un poco mas de reglas.
#!/bin/sh -e## rc.local## This script is executed at the end of each multiuser runlevel.# Make sure that the script will "exit 0" on success or any other# value on error.## In order to enable or disable this script just change the execution# bits.## By default this script does nothing.
#Vaciar y reiniciar las tablas actuales
iptables -Fiptables -Xiptables -Z
#Borra tablas NAT
iptables -F -t nat
#Establecemos Politicas por Defecto
iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP
NOTA: Cuando implementamos iptables con política por defecto DROP debemos de tener en cuenta dos cosas muy importantes:
1.Se debe permitir el acceso a todo paquete procedente de la red WAN hacia el Firewall, con el fin de establecer la conexión para luego redireccionarla al destino correspondiente
2. Hacer el debido redireccionamiento de dichos paquetes a su destino
3. Especificar la regla con el parámetro –sport, eso para que el sepa por donde devolverse.
Comencemos con lo básico, darle acceso a la DMZ, LAN y HOST LOCAL a Internet, para esto se debe configurar las siguientes reglas:
Haciendo NAT:
#Acceso de la LAN a la WAN
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth2 -j MASQUERADEiptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j MASQUERADE
REGLAS PARA PERMITIR CONEXIONES POR EL PUERTO 80 DESDE LA LAN, DMZ Y HOST LOCAL HACIA LA WAN.
Como la política por defecto es DROP, tendremos que crear reglas para permitir que el paquete que venga desde la LAN; DMZ Y HOST LOCAL, pueda salir hacia la WAN, y posteriormente crear reglas para que la respuesta del servidor remoto pueda acceder a las maquinas que hicieron las peticiones.
Permitiendo que el host local acceda a la WAN:
Empezamos dándole salida a Internet a nuestro firewall creando la siguientes reglas:
Las cuales quieren decir:
Todo trafico que venga desde el firewall y vaya hacia cualquier red, por el protocolo tcp y puerto 80 la acción es aceptar.
Todo trafico que venga desde cualquier lugar hacia el firewall por el protocolo tcp y puerto 80 como respuesta a la petición del firewall la acción es aceptar.
Ahora hay que permitir que se haga la resolución de nombres de dominio aplicando las siguientes reglas:
Lo cual quiere decir:
Todo lo que provenga del firewall hacia la WAN por el protocolo UDP y puerto 53 la acción es aceptar.
Todos los paquetes que vengan desde cualquier red y que vayan hacia el firewall por el protocolo tcp y puerto 53 como respuesta a la petición hecha por el firewall
Permitiendo que la LAN acceda a Internet:
Ahora procederemos a permitir que la red local tenga acceso a la red WAN, para ello aplicaremos las siguientes reglas:
Lo que quiere decir es:
Todas las conexiones que se realicen desde la red 172.16.0.0/16 con destino a cualquier red por el protocolo tcp y puerto 80 la accion es aceptar.
Todo trafico procedente desde cualquier red con destino a la red 172.16.0.0/16 por el protocolo tcp y el puerto 80 como respuesta a la petición de la red local la accion sera aceptar.
Ahora permitiremos que realice consultas al DNS:
Lo cual significa:
Que todo paquete procedente de la red 172.16.0.0/16 para cualquier red por el protocolo UDP y puerto 53 la acción es permitir.
Todo paquete que provenga desde cualquier red con destino a la red LAN por el protocolo UDP y el puerto 53 como respuesta a la petición de la LAN la acción es aceptar.
Permitir acceso a WAN a la DMZ:
Ahora le daremos acceso a la WAN a nuestra DMZ con las siguientes reglas:
Lo cual quieren decir:
Todo paquete desde la DMZ con destino a cualquier red por el protocolo TCP y el puerto 80 la acción es aceptar.
Todo paquete que llegue desde cualquier red, con destino a la DMZ por el protocolo TCP y puerto 80 y como respuesta de la petición de la DMZ la acción es aceptar.
Permitiendo consultas DNS:
Todo paquete procedente de la DMZ con destino a cualquier red por el protocolo UDP y por el puerto 53 la acción es aceptar.
Todo paquete procedente de cualquier destino hacia la DMZ por el protocolo UDP y por el puerto 53 como respuesta a la petición de la DMZ la acción es aceptar.
Permitiendo peticiones desde WAN al servidor PostgreSQL de la LAN
Ahora crearemos las reglas que permitiran al acceso desd einternet al servidor PosgreSQL de la LAN
Todo trafico procedente de cualquier red con destino a la red 10.0.0.20 por el protocolo TCP y puerto 465 la accion es aceptar.
Todo trafico propende de la 10.0.0.10 con destino a cualquier red por el protocolo TCp y puerto 465 como respuesta a la petición de la DMZ la accion es aceptada
Redireccionamiento:
Después de haber aceptado la conexión desde la WAN, procederemos a realizar el respectivo redireccionamiento del paquete hacia su destino con la respectiva regla:
Toda peticiobn proveniente de la red WAN que tenga como destino el firewall por le protocolo tcp y puerto 5432 lo redireccione al equipo con la IP 172.16.0.10 por el puerto 5432.
ACCEDIENDO DESDE LA WAN A SERVIDOR DE CORREO DE LA DMZ POR SSL
Ahora crearemos las reglas que permitirán acceder desde la WAN a nuestro servidor de correo de forma segura. Para ello realizamos las siguientes reglas:
Todos los paquetes procedentes desde cualquier red con destino la 10.0.0.20 por el protocolo tcp y puerto 465 la accion es aceptar.
Todos los paquetes desde la 10.0.0.20 con destino a cualquier red por el protocolo tcp y puerto 465 como respuesta a la petición del equipo 10.0.0.20 la accion es permitir
Redireccionando:
Todo paquete que venga desde cualquier red con destino al firewall por el protocolo tcp y puerto 465 la accion es redireccionarlo al equipo 10.0.0.20 por el puerto 465.
Para descargar el correo de forma segura seria:
Todo el trafico que venga desde cualquier origen para el equipo 10.0.0.20 por el protocolo tcp y puerto 993, 995 la acción es aceptar.
Todo el tráfico que venga desde el equipo 10.0.0.20 para cualquier red por el protocolo tcp y puerto 993, 995 como respuesta a la petición de la red externa la acción es aceptar.
Ahora redireccionaremos las peticiones:
Todo el trafico procedente de cualquier red para nuestra maquina por el protocolo tcp y puertos 993 y 995 la acción es redireccionarlo al equipo con la IP 10.0.0.20 por el puerto 993 y 995.
ACCEDIENDO DESDE LA LAN AL SERVIDOR DE CORREO DE LA DMZ POR SSL
Terminada la creación de las reglas de la WAN procedemos a crear las de la LAN, para permitir el acceso al servidor de correo de forma segura:
Las conexiones procedentes de la LAN con destino al servidor de correo de la DMZ por el protocolo tcp y puerto 465 la acción es permitir.
Las conexiones procedentes del servidor de correo de la DMZ hacia nuestra LAN por el protocolo tcp y puerto 465 como respuesta a la petición de la LAN la acción es permitir.
NOTA: Como las conexiones se están haciendo desde la propia red local, las conexiones se establecen sin necesidad de redireccionarlas hacia su destino. Por lo tanto basta con solo aceptar las conexiones.
Ahora crearemos las reglas que permitirán descargar de manera segura el correo.
Todas las conexiones que provengan desde la LAN hacia el servidor de correo de nuestra DMZ por el protocolo tcp y puerto 993y 995 la acción es permitir.
Todas las conexiones que provengan desde el servidor de correo hacia la LAN por el protocolo tcp y puerto 993, y 995 como respuesta a las peticiones de la LAN la acción es permitir.
ACCEDER DESDE EL SERVIDOR DE CORREO HACIA EL SERVIDOR SQL SERVER DE LA LAN
Ahora permitiremos que el equipo del servidor de correo tenga acceso a nuestro equipo SQL de la LAN con la siguiente regla:
Permita las conexiones procedentes de el equipo 10.0.0.10 que tengan como destino el equipo 172.16.0.20 por le protocolo tcp y el puerto 1432.
Permitir las conexiones desde la IP 172.16.0.20 hacia el servidor de correo de la DMZ por el protocolo tcp y el puerto 1432 como respuesta a las peticiones del Servidor de correo.
