Re: Bloquer algunas maquinas hacia internet
El mar, 06-01-2004 a las 15:29, Omar Beltrán escribió:
> Hola lista...
>
> Tengo un problema que se agrava con mis pocos conocimentos con Iptables, una
> orientada no me vendria mal, Tengo un Debian-Knoppix Testing con iptables,
No sera mucho un knoppix para hcer de router y proxy ?? yo instalaria un
debian pelado con iptables y un squid
> mi conección es un ADLS, mi Debian sirve de puerta de salida (gateway) hacia
> internet, funciona a la 1000 maravillas, el probelma es que varios usuarios
> estan abusando del servicio y me preguntaba si puedo bloquer su salida por
> iptables
>
> he intentado cosas como
>
> /sbin/iptables/ -A INPUT -d 192.168.0.x -j DROP ó
> /sbin/iptables/ -A INPUT -d 192.168.0.x -i ppp0 -j DROP
> /sbin/iptables/ -A INPUT -s 192.168.0.x -j DROP
>
> pero en ningun caso puedo bloquer la maquina hacia internet
>
> ¿Que me falta?
Leer, leer y leer sobre todo sobre la logica de firewalls
En segundo lugar tenes que entender como trabaja iptables
Vos estas aplicando reglas a la cadena INPUT cuando tenes que hacerlo en
FORWARD, si ten suena a chino basico, te repito lee para entender como
trabaja iptables
La politica de filtrado que aplicas no es la correcta
Estas dejando pasar TODO y filtras lo que no queres pasar, cosa que
"suena" bien pero...
tambien estas dejando pasar TODO desde INET ( ahi no "suena" tan bien,
no?)
Una forma "correcta" de filtrar seria DROPEAR TODO y despues ir
permitiendo pasar lo que consideres seguro
Para salir del apuro podrias usar alguno de los scripts de firewalling
que ya vienen listos para armarte un FW en un abrir y cerrar de ojos,
pero a costa de que " si anda para que voy a investigar mas..."
Te repito: lee sobre filtrado y sobre iptables.
--
angel
PD:Seria interesamnte que postearas tu script asi lo mejoramos
>
>
> Muchas gracias por los consejos y jalones de oreja, Saludos
>
> Omar Beltrán
>
> -0 0-
> |
> ___
>
Reply to: