Re: OT iptables

To: <debian-user-spanish@lists.debian.org>
Subject: Re: OT iptables
From: Carles Pina i Estany <is08139@salleURL.edu>
Date: Tue, 13 Mar 2001 15:00:23 +0000 (GMT)
Message-id: <[🔎] Pine.LNX.4.33.0103131456270.24484-100000@vela.salleURL.edu>
In-reply-to: <[🔎] 20010313104108.277b6e15.datageo@terra.com.br>


Hola

> > El "truco" es ponerle, en la tabla NAT un -j ACCEPT de lo que queremos que
> > no haga nada (si pones un ACCEPT en el forward llega al nat, entonces me
> > hacia el masquerading, con el ACCEPT no hace nada, y la última regla del
> > nat el snat y listo...)
>
> Aquí está justamente la dificultad: La lógica con que un paquete
> traviesa las tables y cadenas, no es tan intuitiva como puede parecer

sí, con el ipchains estaba más claro (IMHO)

> leyendo el HOWTO. No me he pensado detalladamente lo querías hacer,

cierto

En los dias que no me funcionó estuve pensando mucho con el Sr. Rusty :-)

> > Sobre el tema de poner todo en REJECT y poner ACCEPT lo que se quiera,
> > tengo el forward en REJECT, hago el FORWARD de lo que quiero, pero el
> > INPUT está en ACCEPT... con un par de reglas anti-spoofing y algo más...
> > que creo que "mi superior" quitó porqué decia que podrian traer
> > problemas... en fin, él sabrá, si fuese por mi estaría claro...
>
> Al final creo que es un poco cuestión de gustos si empiezas denegando
> y permites lo que quieras, o si empiezas permitiendo y deniegas lo que
> necesites. El camino para llegar ahí es diferente. También hay una

pienso que es bastante más seguro el "deniego todo y acepto
explicitamente". Más que nada porqué, con el otro sistema (que yo usé)
_seguro_ que hay casos que se me escapan de la mente (como jugadas de
ajedrez :-)   ) en cambio tú sabes exactamente qué dejas pasar y como

Eso sí, el FORWARD siempre en DROP :-)

> diferencia entre DROP y REJECT. DROP simplemente descarta el paquete y
> no pierde mas tiempo con él. El REJECT devuelve un paquete de error,
> así que el programa del usuario puede dar un mensaje mas

sí, pero el default policy tiene que ser si recuerdo uno de los dos (no
recuerdo si tenía que ser REJECT o DROP, pero uno no me lo aceptaba)

> a una regla de REJECT estarás automaticamente en la situación de un
> DoS (Denial of Service), porque sobrecarga la red y los paquetes

con las iptables ví un gráfico que si lo controlas está previsto, cuando
supera un humbral "cambia" de uno a otro o algo así (no lo miré bien, lo
siento)

> Ah, si tu superior es mas listo, le puedes mirar un poco los dedos:
> Primero usa el -L para ver las reglas duplicadas o redundantes, y
> después usa las diferentes opciones de nmap desde la red interna y la
> externa para ver lo que está abierto. Y finalmente puedes tentar

:-)

mi "superior" y yo nos conocemos XD

> lançar algunos ataques DoS (uno estúpido es ping -f) para ver si
> consiguen bloquear la máquina. Y por último: Si comienzas con DROP y
> haces reglas muy específicas, creo que no tendrás que preocuparte del
> spoofing o egress.

si son reglas espcificias de verdad sí, si es un -s 0.0.0.0/0.0.0.0 XD no

Ta pronto!

Carles

Reply to:

Follow-Ups:
- Re: OT iptables
  - From: Christoph Simon <datageo@terra.com.br>

References:
- Re: OT iptables
  - From: Christoph Simon <datageo@terra.com.br>

Prev by Date: Re: OT iptables
Next by Date: Problema con PHP y Java
Previous by thread: Re: OT iptables
Next by thread: Re: OT iptables
Index(es):
- Date
- Thread