elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
27 Mayo 2012, 11:56  


Tema destacado: Nueva página de elhacker.net en Google+ Google+

+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux
| | |-+  Iptables Kernel Linux		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Iptables Kernel Linux  (Leído 3,653 veces)
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Iptables Kernel Linux
« en: 16 Septiembre 2003, 17:09 »
jod3r ya tpy harto yebo 3 oras aki... no encuentro en q sección del kernel se activa el iptables....

no recuerdo donde estaba y no lo encuentro :S:S

otra cosa en los manuales q me e leido de los scripts pa el iptables... solo ay ejemplos pero no veo q aya reglas generales q digan... esto es asi para cerra un puerto, o cerrarlo menos a tal o tales ip's... o asi se cierra este rango....

:S:S

e deducio un poc pa los ejemplos pero... :S:S nose si seran para todos los puertos iguales...
« Última modificación: 9 Junio 2011, 20:25 por el-brujo » En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #1 en: 17 Septiembre 2003, 06:04 »
Citar
jod3r ya tpy harto yebo 3 oras aki... no encuentro en q sección del kernel se activa el iptables....

no recuerdo donde estaba y no lo encuentro :S:S
Código:
Networking Option -->
     [*]Network packet filtering
          [*]Network packet filtering debugging
     [*]TCP/IP Networking
          [M] TODOS LOS K NECESITES
Citar
otra cosa en los manuales q me e leido de los scripts pa el iptables... solo ay ejemplos pero no veo q aya reglas generales q digan... esto es asi para cerra un puerto, o cerrarlo menos a tal o tales ip's... o asi se cierra este rango....
Con este comando le abres un puerto especifico (21), con un protocolo especifico (tcp), a una ip especifica (192.168.0.4)
Código:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 21 -j ACCEPT
Con esta regla cierras el puerto 21 a todos:
Código:
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20:21 -j DROP
Con esta regla cierras el puerto 80 a una ip especifica:
Código:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 80 -j DROP
Con esto cierras un puerto (139) a una red C (192.168.1.*)
Código:
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 139 -j DROP
Con esto a una red B ( 192.168.*.* ) le abres el puerto 8080:
Código:
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 8080 -j ACCEPT
Usa un poco la imaginacion ;-) Y si kieres aprender a fondo pasate por Lucas.
SALU2
« Última modificación: 18 Septiembre 2003, 02:23 por ..sR. aDiKtO.. » En línea
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #2 en: 17 Septiembre 2003, 06:16 »
mira mi configuracion en el kernel...


 <*> Packet socket                                              x x  
 
  •   Packet socket: mmapped IO                                x x  
< > Netlink device emulation                                   x x  
 
  • Network packet filtering (replaces ipchains)               x x  
  •   Network packet filtering debugging                       x x  
  • Socket Filtering                                           x x  
<*> Unix domain sockets                                        x x  
 
  • TCP/IP networking                                          x x  
  •   IP: multicasting                                         x x  
[ ]   IP: advanced router                                      x
 [ ]   IP: kernel level autoconfiguration                       x x  
< >   IP: tunneling                                            x x  
< >   IP: GRE tunnels over IP                                  x x  
 [ ]   IP: multicast routing                                    x x  
 [ ]   IP: ARP daemon support (EXPERIMENTAL)                    x x  
 [ ]   IP: TCP Explicit Congestion Notification support         x x  
 [ ]   IP: TCP syncookie support (disabled per default)         x x  
IP: Netfilter Configuration  --->                            x x  
< >   The IPv6 protocol (EXPERIMENTAL)                         x x  
< >   Kernel httpd acceleration (EXPERIMENTAL)                 x
< >   Kernel httpd acceleration (EXPERIMENTAL)                 x x  
 [ ] Asynchronous Transfer Mode (ATM) (EXPERIMENTAL)            x x  
< > 802.1Q VLAN Support                                        x x  
< > The IPX protocol                                           x x  
< > Appletalk protocol support                                 x x  
Appletalk devices  --->                                        x x  
< > DECnet Support                                             x x  
< > 802.1d Ethernet Bridging                                   x x  
< > CCITT X.25 Packet Layer (EXPERIMENTAL)                     x x  
< > LAPB Data Link Driver (EXPERIMENTAL)                       x x  
 [ ] 802.2 LLC (EXPERIMENTAL)                                   x x  
 [ ] Frame Diverter (EXPERIMENTAL)                              x x  
< > Acorn Econet/AUN protocols (EXPERIMENTAL)                  x x  
< > WAN router                                                 x x  
 [ ] Fast switching (read help!)                                x x  
 [ ] Forwarding between high speed interfaces                   x x  
QoS and/or fair queueing  --->                                 x x  
Network testing  --->              

bien, ningun modulo....

pos al poner una orden... por ejemplo:

DEREK-X:~# iptables -A INPUT -s 127.0.0.1 -p tcp --dport 21 -j ACCEPT
modprobe: Can't locate module ip_tables
iptables v1.2.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
DEREK-X:~#
« Última modificación: 17 Septiembre 2003, 06:27 por DEREK_X » En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #3 en: 17 Septiembre 2003, 07:11 »
Supongo k no abras cargado ningun modulo en
Código:
IP: Netfilter Configuration  --->
Te dejo aki mi configuracion:
Código:
CONFIG_IP_NF_IPTABLES=m
    CONFIG_IP_NF_MATCH_LIMIT=m
    CONFIG_IP_NF_MATCH_MAC=m
    CONFIG_IP_NF_MATCH_MARK=m
    CONFIG_IP_NF_MATCH_MULTIPORT=m
    CONFIG_IP_NF_MATCH_TOS=m
    CONFIG_IP_NF_MATCH_AH_ESP=m
    CONFIG_IP_NF_MATCH_LENGTH=m
    CONFIG_IP_NF_MATCH_TTL=m
    CONFIG_IP_NF_MATCH_TCPMSS=m
    CONFIG_IP_NF_MATCH_STATE=m
    CONFIG_IP_NF_MATCH_UNCLEAN=m
    CONFIG_IP_NF_MATCH_OWNER=m
 CONFIG_IP_NF_FILTER=m
 CONFIG_IP_NF_TARGET_REJECT=m
 CONFIG_IP_NF_TARGET_MIRROR=m
 CONFIG_IP_NF_NAT=m
 CONFIG_IP_NF_NAT_NEEDED=y
 CONFIG_IP_NF_TARGET_MASQUERADE=m
 CONFIG_IP_NF_TARGET_REDIRECT=m
 CONFIG_IP_NF_NAT_SNMP_BASIC=m
 CONFIG_IP_NF_NAT_IRC=m
 CONFIG_IP_NF_NAT_FTP=m
 CONFIG_IP_NF_MANGLE=m          
 CONFIG_IP_NF_TARGET_TOS=m
 CONFIG_IP_NF_TARGET_MARK=m
 CONFIG_IP_NF_TARGET_LOG=m
 CONFIG_IP_NF_TARGET_ULOG=m
 CONFIG_IP_NF_TARGET_TCPMSS=m
SALU2
« Última modificación: 17 Septiembre 2003, 07:13 por ..sR. aDiKtO.. » En línea
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #4 en: 17 Septiembre 2003, 13:35 »
cierto era eso....

jod3r...

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 25 -j ACCEPT

se supone q con eo deberi tener el 21 22 y 80 abierto a todo el mundo el 10000 cerrado a todos y el 631 y el 25 solo a mi ip interna...

vale:
DEREK-X:~# sh ipt.sh
DEREK-X:~#

lo ejecuto y me escaneo....

(The 1617 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
631/tcp    open        ipp
10000/tcp  open        snet-sensor-mgmt


tendria q poner q son filtrados y q el 1000 esta cverado no??? joder... luego si pongo este script sacado d eun ejemplo y retocado un poco mirar...



                     #!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para proteger la propia máquina
## Pello Xabier Altadill Izura
## www.pello.info - pello@pello.info

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# A nuestra IP le dejamos todo
iptables -A INPUT -s myip.x.x.x  -j ACCEPT

# A un colega le dejamos entrar al mysql para que mantenga la BBDD
#iptables -A INPUT -s x.x.x.x -p tcp --dport 3306 -j ACCEPT

# A un diseñador le dejamos usar el FTP
#iptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT


# El puerto 80 de www debe estar abierto, es un servidor web.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Cerramos rango de los puertos privilegiados. Cuidado con este tipo de
# barreras, antes hay que abrir a los que si tienen acceso.
iptables -A INPUT -p tcp --dport 1:1024
iptables -A INPUT -p udp --dport 1:1024

# Cerramos otros puertos que estan abiertos
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -p udp --dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script


lo ejecuto y...

DEREK-X:~# sh firewall.sh
Aplicando Reglas de Firewall...iptables v1.2.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables v1.2.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
 OK . Verifique que lo que se aplica con: iptables -L -n
DEREK-X:~#

En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #5 en: 18 Septiembre 2003, 00:54 »
Te esta diciendo k la tabla nat no la puede cargar, haz una cosa, carga dentro de:
Código:
Networking Option -->
    IP: Netfilter Configuration  --->
Todo como modulos, y ya no tendras problemas.

Miremos tu primer firewall:
Código:
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j DROP
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 25 -j ACCEPT
La unica regla k esta casi correcta es:
Código:
iptables -A INPUT -p tcp --dport 10000 -j DROP
Lo k hace esta regla, es negar el acceso al puerto 10000 a ninguna ip. Supongo k se la kerras negar a todas las ip' s, en cullo caso seria:
Código:
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP
Lo normal es aplicar politicas por defecto y luego configurarlas como uno kiera, por ejemplo:
Código:
/sbin/iptables -P INPUT ACCEPT # INPUT se acepta por defecto
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT # OUTPUT se acepta por defecto
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD ACCEPT # FORWARD se acepta por defecto
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F
A continuacion de esto pones las reglas k kieras k tenga tu firewall ( las k pusiste en el post anterior, pero bien hechas ;-)).
Otra cosa, nunca pongas como ip 127.0.0.1, ya k esa ip la tienen todos los ekipos, en su lugar haz un scritp k coja la ip k tienes en ese momento, un posible script seria:
Código:
#!/bin/sh
ifconfig eth0 > /tmp/aux
awk '/inet addr/ {print $2}' /tmp/aux > /tmp/aux2
rm -f /tmp/aux
ip=$(awk -F: '{print $2}' /tmp/aux2)
rm -f /tmp/aux2
echo $ip
( K me perdonen los gurus por la chaputa del script )
Resumiendo tu script, tendria k tener esta pinta:
Código:
#!/bin/sh
# Primero calcular cual es tu ip
ifconfig eth0 > /tmp/aux
awk '/inet addr/ {print $2}' /tmp/aux > /tmp/aux2
rm -f /tmp/aux
# Tu ip esta guardada el la variable $ip
ip=$(awk -F: '{print $2}' /tmp/aux2)
rm -f /tmp/aux2

# Aplicamos la politica por defecto
 /sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

# Aplicamos las reglas k keramos
# Negamos a to cristo el puerto 10000 tcp
/sbin/iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP
SALU2
« Última modificación: 18 Septiembre 2003, 00:55 por ..sR. aDiKtO.. » En línea
okahei

Desconectado Desconectado

Mensajes: 129


du hast


Ver Perfil
Re:AYUDA ...
« Respuesta #6 en: 18 Septiembre 2003, 02:13 »
Derek_x te recomiendo estos documentos, el primer enlace es un tutorial con ejemplos practicos

http://www.pello.info/?p=manuales.html

y el segundo es el man iptables traducido al español

http://guadawireless.net/modules.php?op=modload&name=phpWiki&file=index&pagename=iptables

saludos.
En línea
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #7 en: 19 Septiembre 2003, 05:18 »
asi estaria bien????


#!/bin/shu
ifconfig eth0 > /tmp/aux
awk '/inet addr/ {print $2}' /tmp/aux > /tmp/aux2
rm -f /tmp/aux
ip=$(awk -F: '{print $2}' /tmp/aux2)
rm -f /tmp/aux2

# Aplicamos la politica por defecto
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP
/sbin/iptables -A INPUT -s $ip -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -s $ip -p tcp --dport 631 -j ACCEPT

y si yo kisiera parar este script??? q tendria q acer???
« Última modificación: 19 Septiembre 2003, 05:20 por DEREK_X » En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #8 en: 19 Septiembre 2003, 05:39 »
Código:
#!/bin/shu
ifconfig eth0 > /tmp/aux
awk '/inet addr/ {print $2}' /tmp/aux > /tmp/aux2
rm -f /tmp/aux
ip=$(awk -F: '{print $2}' /tmp/aux2)
rm -f /tmp/aux2

# Aplicamos la politica por defecto
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP
/sbin/iptables -A INPUT -s $ip -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -s $ip -p tcp --dport 631 -j ACCEPT
Ese script tiene k funcionar a la perfeccion, aunke las dos ultimas reglas no sirvan para nada, ya k has puesto el input por defecto a aceptar.
Para eliminar las reglas se hace con:
Código:
for a in `cat /proc/net/ip_tables_names`; do
   iptables -F -t $a
   iptables -X -t $a
   if [ $a == nat ]; then
      iptables -t nat -P PREROUTING ACCEPT
      iptables -t nat -P POSTROUTING ACCEPT
      iptables -t nat -P OUTPUT ACCEPT
   elif [ $a == mangle ]; then
      iptables -t mangle -P PREROUTING ACCEPT
      iptables -t mangle -P INPUT ACCEPT
      iptables -t mangle -P FORWARD ACCEPT
      iptables -t mangle -P OUTPUT ACCEPT
      iptables -t mangle -P POSTROUTING ACCEPT
   elif [ $a == filter ]; then
      iptables -t filter -P INPUT ACCEPT
      iptables -t filter -P FORWARD ACCEPT
      iptables -t filter -P OUTPUT ACCEPT
   fi
done
Los gurus cambiarian iptables por la ruta absoluta, pero no me apetecia escribir tanto xDD
SALU2
En línea
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #9 en: 19 Septiembre 2003, 07:40 »
no lo entiendo.. osea tu me dices esto:


 Con este comando le abres un puerto especifico (21), con un protocolo especifico (tcp), a una ip especifica (192.168.0.4)

Código:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 21 -j ACCEPT

y yo pongo:

/sbin/iptables -A INPUT -s $ip -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -s $ip -p tcp --dport 631 -j ACCEPT

no veo la diferencia... yo lo unico q quiero esq el 631 y el 25 este solo abierto para mi... y el 21 22 y 80 normal para todos...
En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #10 en: 19 Septiembre 2003, 11:03 »
Citar
no lo entiendo.. osea tu me dices esto:


Con este comando le abres un puerto especifico (21), con un protocolo especifico (tcp), a una ip especifica (192.168.0.4)

Código:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 21 -j ACCEPT

y yo pongo:

/sbin/iptables -A INPUT -s $ip -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -s $ip -p tcp --dport 631 -j ACCEPT

no veo la diferencia...
Yo tampoco

Citar
yo lo unico q quiero esq el 631 y el 25 este solo abierto para mi... y el 21 22 y 80 normal para todos...
Bueno aki esta lo k kieres, primera y ultima vez k hago la faena por alguien:
Código:
#!/bin/sh
#
# Script por cortesia del ..sR. aDiKtO..
#
# Se permite la copia, distribución y/o modificacion de este
# documento bajo los términos de la GNU Free Documentation
# License, versión 1.2 o cualquier versión posterior publicada por
# la Free Software Foundation. Una copia de esta licencia se
# encuentra en www.gnu.org.

opts="start stop"

start() {
   ebegin "Cagando reglas del iptables"
   if  echo "1" > /proc/sys/net/ipv4/conf/all/forwarding; then
      einfo "Activado el forwarding"
   fi
   if echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all; then
       einfo "Desactivado el ping"
   fi
        # Consiguiendo la ip
        ifconfig eth0 > /tmp/aux
        awk '/inet addr/ {print $2}' /tmp/aux > /tmp/aux2
        rm -f /tmp/aux
        # Tu ip esta guardada el la variable $ip
        ip=$(awk -F: '{print $2}' /tmp/aux2)
        rm -f /tmp/aux2

        # Aplicamos la politica por defecto
        iptables -P INPUT DROP
        iptables -F INPUT
        iptables -P OUTPUT ACCEPT
        iptables -F OUTPUT
        iptables -P FORWARD ACCEPT
        iptables -F FORWARD
        iptables -t nat -F

        # Aplicamos las reglas k keramos
        iptables -A INPUT -s $ip -p tcp --dport 25 -j ACCEPT
        iptables -A INPUT -s $ip -p tcp --dport 631 -j ACCEPT
        iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 21 -j ACCEPT
        iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT
        iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT    
   eend $?
}

stop() {
   ebegin "Parando firewall"
      if [ -f /proc/sys/net/ipv4/conf/all/forwarding ] ; then
         echo "0" > /proc/sys/net/ipv4/conf/all/forwarding
      fi
      if [ -f /proc/sys/net/ipv4/icmp_echo_ignore_all ] ; then
         echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
      fi
      for a in `cat /proc/net/ip_tables_names`; do
         iptables -F -t $a
         iptables -X -t $a

         if [ $a == nat ]; then
            iptables -t nat -P PREROUTING ACCEPT
            iptables -t nat -P POSTROUTING ACCEPT
            iptables -t nat -P OUTPUT ACCEPT
         elif [ $a == mangle ]; then
            iptables -t mangle -P PREROUTING ACCEPT
            iptables -t mangle -P INPUT ACCEPT
            iptables -t mangle -P FORWARD ACCEPT
            iptables -t mangle -P OUTPUT ACCEPT
            iptables -t mangle -P POSTROUTING ACCEPT
         elif [ $a == filter ]; then
            iptables -t filter -P INPUT ACCEPT
            iptables -t filter -P FORWARD ACCEPT
            iptables -t filter -P OUTPUT ACCEPT
         fi
      done
   eend $?
}
Bueno ese script lo guardas con el nombre k kieras, por ejemplo firewall, en el /etc/init.d/.
Luego le das permisos de ejecucion:
Código:
chmod +x firewall
Y para activar el firewall solo tienes k hacer:
Código:
/etc/init.d/firewall start
Y para pararlo:
Código:
/etc/init.d/firewall stop
Y para k se cargue por defecto siempre en el arranke tienes k crear un enlace simbolico a .... mira los post de esta misma semana k ha alguien se lo he dicho.
SALU2
« Última modificación: 20 Septiembre 2003, 00:25 por ..sR. aDiKtO.. » En línea
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #11 en: 19 Septiembre 2003, 13:38 »
muchisimas gracias tio  ;)
En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
dxr
Colaborador
***
Desconectado Desconectado

Mensajes: 2.991



Ver Perfil
Re:AYUDA ...
« Respuesta #12 en: 19 Septiembre 2003, 14:06 »
DEREK-X:/etc/init.d# fire
bash: fire: command not found
DEREK-X:/etc/init.d# ./fire
bash: ./fire: /sbin/runscript: bad interpreter: No such file or directory
DEREK-X:/etc/init.d# ./fire start
bash: ./fire: /sbin/runscript: bad interpreter: No such file or directory
DEREK-X:/etc/init.d# fire start
bash: fire: command not found
DEREK-X:/etc/init.d#


y le e dao prmiso de ejecucion...

e buscao con el apt-cache search y no encuentro lo q pide...
En línea
Hacer preguntas concretas, claras y aportando toda la documentación necesaria.
De lo contrario, no tendreis una respuesta clara.
okahei

Desconectado Desconectado

Mensajes: 129


du hast


Ver Perfil
Re:AYUDA ...
« Respuesta #13 en: 19 Septiembre 2003, 15:28 »
creo que el script debes de poner el interprete que lo va a ejecutar.

seria #!/bin/sh

te dejo un fragmento del mio

#!/bin/sh
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

echo aplico politicas

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 10.0.0.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 25 -j REJECT

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 22 -j REJECT

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 21 -j REJECT

iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 9:13 -j REJECT

saludos.
En línea
..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.452


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:AYUDA ...
« Respuesta #14 en: 20 Septiembre 2003, 00:12 »
Citar
DEREK-X:/etc/init.d# ./fire start
bash: ./fire: /sbin/runscript: bad interpreter: No such file or directory
Te esta diciendo k no existe ese fichero ( el interprete de comandos ), cambia la primera linea del script:
Código:
#!/sbin/runscript
Por la ruta obsoluta de una shell, por ejemplo la k te ha dicho okahei:
Código:
#!/bin/sh
O la bash:
Código:
#!/bin/sh
La culpa fue mia, porke estoy acostumbrado a trabajar con gentoo.
Tambien le falta la linea de:
Código:
opts="start stop"
SALU2
                                                                                       
NOTA: Ya no hace falta k modifikes nada, ya lo he modificado yo en el post anterior.
« Última modificación: 20 Septiembre 2003, 00:27 por ..sR. aDiKtO.. » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Firewall en linux con iptables...help me..
Seguridad 		Danick 1 368 Último mensaje 16 Marzo 2005, 17:58
por Rojodos
Firewall en linux con iptables...help me..
GNU/Linux 		Danick 3 313 Último mensaje 12 Marzo 2005, 22:10
por Soul Lost
Saber que Kernel Linux Tengo y Instalar header del kernel « 1 2 »
GNU/Linux 		TigreDARK 18 2,833 Último mensaje 15 Junio 2006, 22:04
por _R€d_
APF (Firewall basado en iptables) para servidores Linux
GNU/Linux 		el-brujo 2 1,846 Último mensaje 21 Octubre 2006, 08:02
por <--v1c1ous-->
Extra module para Iptables (linux): Patch-o-matic: Tarpit, reglas horarias....
Seguridad 		lapsus 0 1,274 Último mensaje 28 Diciembre 2010, 17:04
por lapsus
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines