Re: OT iptables

To: <debian-user-spanish@lists.debian.org>
Subject: Re: OT iptables
From: Carles Pina i Estany <is08139@salleURL.edu>
Date: Tue, 13 Mar 2001 14:20:03 +0000 (GMT)
Message-id: <[🔎] Pine.LNX.4.33.0103131416510.23303-100000@vela.salleURL.edu>
In-reply-to: <[🔎] 20010313090854.2f1e80da.datageo@terra.com.br>


hola

sí, fuí yo :-)

No sé si hubo alguien más

Ahora ya me funciona, aunque tu "técnica" la veo muy útil.

El problema principal mio era como decirle ciertas cosas (FORWARD a 3
redes i SNAT al resto...)

El "truco" es ponerle, en la tabla NAT un -j ACCEPT de lo que queremos que
no haga nada (si pones un ACCEPT en el forward llega al nat, entonces me
hacia el masquerading, con el ACCEPT no hace nada, y la última regla del
nat el snat y listo...)

Sobre el tema de poner todo en REJECT y poner ACCEPT lo que se quiera,
tengo el forward en REJECT, hago el FORWARD de lo que quiero, pero el
INPUT está en ACCEPT... con un par de reglas anti-spoofing y algo más...
que creo que "mi superior" quitó porqué decia que podrian traer
problemas... en fin, él sabrá, si fuese por mi estaría claro...

Gracias y hasta pronto

On Tue, 13 Mar 2001, Christoph Simon wrote:

> No sé hasta que punto esto es off-topic, porque hace algún tiempo
> alguien de esta lista también estaba luchando con los iptables. Creo
> entender bastante bien como funciona TCP/IP, pero con iptables también
> soy novato. Descubrí un truquillo que puede ser de utilidad para
> otros.
>
> Cada cadena de cada tabla es procesada desde arriba para abajo. Y si
> activamos en el kernel el target especial LOG, podemos colocar al
> final de cada cadena una regla que mande un log para el syslog. Por
> ejemplo:
>
> iptables -t nat -A POSTROUTING -j LOG --log-level debug --log-prefix "nat-post:"
>
> (Si dejo fuera el "--log-level debug", el kernel lo escribirá en la
> terminal activa.) Si todo está activado en el kernel, sería necesario
> hacerlo para las tablas mangle, nat y filter. Con
>
> 	iptable -t mangle -L
>
> puedo ver qué cadenas existen para la tabla mangle, etc. Lo que hice
> es lo siguiente: Empecé el script limpiándolo todo (flush) para poder
> correr el script tantas veces como fuese necesario. Entonces, defino
> las default policies (en mi caso, todo DROP), y al final (dejando un
> hueco para las reglas) estas líneas con el LOG. Entonces me abro otra
> terminal y visualizo lo que está pasando con tail -f /var/log/debug. Y
> antes de probarlo, hago un "sh script" para hacerlo efectivo. Si ahora
> intento hacer alguna cosa, como lanzar un ping o usar ssh, a parte de
> no funcionar, la terminal del log me va a decir que la regla por
> defecto hizo caer un paquete, indicando los interfaces, IP's,
> direcciones MAC, puertos, protocolos, bueno todo lo que puede ser
> relevante. Con esto es fácil ver lo que tengo que permitir
> pasar. Entonces coloco una regla e intento de nuevo. Lo bonito es que
> puedo observar interactivamente que paquetes son usados por los
> diferentes protocolos y como atraviesan las tablas y cadenas.
>
> Cuando todo está funcionando, uso el -L otra vez para ver si una regla
> mas general hace redundante una regla mas específica, limpiándolo
> todo. Hay algunos casos en que un target REJECT sería mejor que DROP
> (al menos que implique un peligro de un DoS), los que también puedo
> ver en el log. La diferencia es el mensaje de error que da el programa
> en cuestión.
>
> Mi estrategia es: Todo está prohibido lo que no está explicitamente
> permitido. Por eso, todas las default policies las tengo en DROP. Con
> esta técnica defino las reglas más específicas posibles, permitiendo
> sólo lo imprescindible. También se puede empezar con una default
> policy de ACCEPT, y denegar lo que vemos en el log que había pasado.
>
> Claro, esto no evita que tenga que entender lo que quiero hacer, ni
> para que sirve cada una de las tablas, pero después de leer el HOWTO
> de Rusty, esta técnica me ha ayudado mucho.
>
> Espero que sirva a alguien!
>
> --
> Christoph Simon
> datageo@terra.com.br
> ---
> ^X^C
> q
> quit
> :q
> ^C
> end
> x
> exit
> ZZ
> ^D
> ?
> help
> shit
> .
>
>
> --
> Unsubscribe?  mail -s unsubscribe debian-user-spanish-request@lists.debian.org < /dev/null
>

----
Carles Pina i Estany
   E-Mail: cpina@linuxfan.com || #Linux User: 87347 || Nick: Pinux
   URL: http://www.salleurl.edu/~is08139
   Los niños no vienen de Paris, sino de Estar-dos Unidos

Reply to:

Follow-Ups:
- Re: OT iptables
  - From: Christoph Simon <datageo@terra.com.br>

References:
- OT iptables
  - From: Christoph Simon <datageo@terra.com.br>

Prev by Date: Apache en tar.gz
Next by Date: Re: Conexión casera de 2 pc's
Previous by thread: OT iptables
Next by thread: Re: OT iptables
Index(es):
- Date
- Thread