|
Título: problema con iptables Publicado por: linusero en 3 Mayo 2006, 10:54 am He leído varios manuales sobre iptables y la verdad es que me quedan algunas dudas. Espero que alguien me las despeje:
1/ cuando hay 2 interfaces (eth0, eth1) una conectada a un router y otra a una red interna. Hay manuales que no especifican la interfaz para una regla iptables -A INPUT -s 0/0 -p TCP --dport 1:1024 -j DROP ¿A qué interfaz por defecto se aplica la regla?, me imagino que será la conectada al router 2/ También una cosa que he visto en varios manuales es si ponemos una política de ACCEPT en INPUT. ¿ Por qué volvemos a aceptar entradas a un puerto? iptables -A INPUT -s 0/0 -p TCP --dport 25 -j ACCEPT Ocurre lo mismo con DROP . Si ponemos una política DROP iptables -P INPUT DROP .¿Por qué volvemos a rechazar paquetes en una regla? iptables -A INPUT -i eth0 -p TCP -s 0/0 --dport 600:6005 -j DROP También quiero que echéis un vistazo al iptables que he hecho porque me deja navegar pero cuando quiero descargar algo se queda el navegador bloqueado y no sale la pantallita de descargar o abrir con. Tampoco me funciona azureus !/bin/bash #Liempieza total iptables -F #Aquí establecemos la política aceptando todo el tráfico de entrada y de salida iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT #aceptar todo lo que venga por eth0 iptables -A INPUT -i eth0 -j ACCEPT #permitir las conexiones que sean peticiones mías iptables -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT #el resto de conexiones serán rechazadas iptables -A INPUT -m state --state NEW,INVALID -j DROP #permitir todo lo mío iptables -A INPUT -i lo -j ACCEPT #abrir el puerto 24644 para azureus iptables -A INPUT -i eth0 -p TCP -s 0/0 --dport 24644 -j ACCEPT iptables -A INPUT -i eth0 -p UDP -s 0/0 --dport 24644 -j ACCEPT #no permitir entradas a puertos del sistema iptables -A INPUT -i eth0 -p TCP -s 0/0 --dport 1:1024 -j DROP iptables -A INPUT -i eth0 -p UDP -s 0/0 --dport 1:1024 -j DROP Un saludo a todos Título: Re: problema con iptables Publicado por: linusero en 3 Mayo 2006, 12:37 pm Se me olvidaba tengo una tarjeta eth0 conectado a un router, este router tiene los puertos de azureus abiertos. estos son los módulos que se cargan:
ipt_state 1792 3 ip_conntrack 49580 1 ipt_state nfnetlink 6168 1 ip_conntrack iptable_filter 2816 1 ip_tables 17536 2 ipt_state,iptable_filter Título: Re: problema con iptables Publicado por: cohone en 3 Mayo 2006, 20:05 pm Citar 2/ También una cosa que he visto en varios manuales es si ponemos una política de ACCEPT en INPUT. ¿ Por qué volvemos a aceptar entradas a un puerto? iptables va comprobando las lineas en orden, y una vez que el paquete cumple los requisitos de una, NO continúa chequeando las demás reglas y realiza la acción que le has especificado. Por lo tanto tal vez quieras aceptar todas las entradas a un puerto, pero si no pones regla, tal vez ese paquete cumpla también alguna de las siguientes (una con drop, por ejemplo) y no llege al final donde la politica ACCEPT permitiría que ese paquete pasase el firewall. Citar / cuando hay 2 interfaces (eth0, eth1) una conectada a un router y otra a una red interna. Hay manuales que no especifican la interfaz para una regla iptables -A INPUT -s 0/0 -p TCP --dport 1:1024 -j DROP No lo puedo confirmar, pero supongo que esa regla se comprobaría para todas las interfaces Título: Re: problema con iptables Publicado por: Epzylon en 28 Septiembre 2012, 16:51 pm He leído varios manuales sobre iptables y la verdad es que me quedan algunas dudas. Espero que alguien me las despeje: Te tiro una serie de manuales que creo te van a servir http://www.netsecure.com.ar/2008/12/02/netfilter-iptables-i/ (http://www.netsecure.com.ar/2008/12/02/netfilter-iptables-i/) Sorry por responder tanto tiempo después pero creo que es pertinente |