Problema IpTables y Windows 2003 Server

21 feb 2008 11:07

Enlace permanente

Wenas

Estamos aqui configurando un firewall con IpTables y tenemos un problema al intentar meter un equipo Windows al dominio (con un Windows 2003 Server). Sabemos que es un problema de puertos, porque si ponemos los Forward en Accept funciona, pero al ponerlo en Drop no. Tenemos puestos los siguientes puertos abiertos para el acceso al server: 88,137,138,139,389,445,749

A ver si alguno nos puede ayudar

Gracias

21 feb 2008 13:09

Enlace permanente

Como no pongas un esquemita o similar...
por lo que que comentas el linux hace de firewall? (lo digo por el tema de forward)
sino es así, haz un

iptables -nvL

y pon el resultado pa pa ver que hay

21 feb 2008 13:22

Enlace permanente

Te adjuntamos aqui el propio Firewall entero y lo que nos aparece con "iptables -nvL" te lo escribimos aqui:

UE-206-06:~/Desktop # iptables -nvL
Chain INPUT (policy ACCEPT 4600 packets, 3786K bytes)
pkts bytes target prot opt in out source destination
66 3452 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT icmp -- eth2 * 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED

Chain FORWARD (policy ACCEPT 405 packets, 82664 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- eth1 eth2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth2 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT icmp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT icmp -- eth0 eth2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eth2 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT icmp -- * * 192.168.100.0/22 192.168.108.0/26
0 0 ACCEPT icmp -- * * 192.168.108.0/26 192.168.100.0/22 state RELATED
,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.200.0/24
0 0 ACCEPT all -- * * 192.168.200.0/24 0.0.0.0/0 state RELATED
,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 multiport dpo
rts 88,135,137,138,139,389,445,749
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 multiport spo
rts 88,135,137,138,139,389,445,749
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 multiport dpo rts 88,135,137,138,139,389,445,749
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 multiport spo rts 88,135,137,138,139,389,445,749
257 19784 ACCEPT udp -- * eth2 192.168.100.193 0.0.0.0/0
251 33129 ACCEPT udp -- eth2 * 0.0.0.0/0 192.168.100.193 state RELATED ,ESTABLISHED
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.100.195 tcp dpt:80
0 0 ACCEPT tcp -- * * 192.168.100.195 0.0.0.0/0 tcp spt:80
0 0 ACCEPT tcp -- eth1 eth2 0.0.0.0/0 0.0.0.0/0 state NEW,REL ATED,ESTABLISHED tcp dpt:80
0 0 ACCEPT tcp -- eth2 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED ,ESTABLISHED tcp spt:80
0 0 ACCEPT tcp -- eth1 eth2 0.0.0.0/0 0.0.0.0/0 state NEW,REL ATED,ESTABLISHED tcp dpt:443
0 0 ACCEPT tcp -- eth2 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED ,ESTABLISHED tcp spt:443

Chain OUTPUT (policy ACCEPT 3594 packets, 507K bytes)
pkts bytes target prot opt in out source destination
66 3452 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * eth2 0.0.0.0/0 0.0.0.0/0 tcp spt:22
0 0 ACCEPT icmp -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0
1 68 ACCEPT icmp -- * eth2 0.0.0.0/0 0.0.0.0/0

Adjuntos

fwbuilder.txt (0 Bytes)

21 feb 2008 14:06

Enlace permanente

Y un esquemita de la red para ver que hay en cada interfaz ??

21 feb 2008 14:21

Enlace permanente

Pero necesitas el esquema de la red? Si lo que nosotros necesitamos al fin y al cabo es saber los puertos que necesita un equipo para la autenticacion en el Directorio Activo, porque sabemos que es un problema de puertos (hemos abierto por probar el rango desde el 0:8000 y funciona) asi que no es cosa de mascaras ni ips

21 feb 2008 14:45

Enlace permanente

¡Buenas!

Añádeles los puertos 53 y 135 y nos cuentas.

Un saludote

21 feb 2008 14:55

Enlace permanente

El 53 no lo tenemos metido porque es el del DNS, y el 135 ya esta incluido en los puertos que hemos abierto. Aun asi hemos metido por si acaso el 53 pero sigue sin funcionar...

21 feb 2008 15:00

Enlace permanente

¿El 53 UDP?