Re: Iptables no Dropea
>-----Mensaje Original-----
>Desde: Javier Payno [mailto:kilwa@kilwacero.net]
>Enviado: Lunes 22 de Marzo de 2004 08:11 PM
>Para: debian-user-spanish@lists.debian.org
>Tema: Re: Iptables no Dropea
>
>El Lunes, 22 de Marzo de 2004 20:35, Luciano Giacchetta escribió:
>> Gente,
>> La unica diferencia que tengo con respecto a las ifaces son que una tiene
>> una mascara 255.255.255.0 y la publica es 255.255.255.240, tendra algo que
>> ver esto???? Despues, por ejemplo tengo desabilitado por iptables el icmp
>> en la iface publica, sin embargo desde inet puedo pingear mi ip... ¿?
>> realmente no entiendo nada...
>
>Podrías pastear alguna de las reglas que no te funcionan?
>con un iptables -L -nv, copia una de las lineas que cruje y sobre esa
>trabajamos.
Acá te mando mi scrip de iptables... en realidad no es una regla o dos las que no funcionan, sino todas las que aplique a la iface eth1
#IP FORWARDING HABILITADO
echo 1 > /proc/sys/net/ipv4/ip_forward
#Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
#Politicas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Enmascaramiento y fowardeo
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -d 192.168.101.0/24
iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -s 192.168.101.0/24
#Puertos abiertos
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -p icmp -i eth0
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 22
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 25
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 80
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 443
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 2103
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 10000
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --syn -m limit --limit 1/s
iptables -A INPUT -j ACCEPT -p icmp --icmp-type echo-request -m limit --limit 1/s
#Puertos fowardeados
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to-destination 192.168.101.27:110
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 26 -j DNAT --to-destination 192.168.101.27:6000
como veras tengo deshabilitado el icmp para la iface eth1 pero sin embargo desde afuera puedo pingear mi ip publica y eso es lo que no entiendo ¿?
Tambien desde afuera tengo acceso a SSH, y como ves no tengo habilitado el port 22 en la eth1 ¿?
Despues, tengo todo DROPEADO pero desde afuera puedo ver el port 13 open daytime ¿?.. osea sintetizando, sobre la placa eth1 no se aplican ninguna de las politicas pero si sobre la placa eth0, sobre esta todo funciona 11 puntos.. ( eth0 es interna )
eth0 Link encap:Ethernet HWaddr 00:50:04:A9:26:65
inet addr:192.168.101.9 Bcast:192.168.101.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1628962 errors:0 dropped:0 overruns:0 frame:0
TX packets:1286138 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:264146947 (251.9 MiB) TX bytes:833733917 (795.1 MiB)
Interrupt:11 Base address:0xc400
eth1 Link encap:Ethernet HWaddr 00:50:04:A9:4E:CD
inet addr: X.X.X.X Bcast: X.X.X.X Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1165206 errors:0 dropped:0 overruns:0 frame:0
TX packets:1130329 errors:0 dropped:0 overruns:0 carrier:0
collisions:84 txqueuelen:100
RX bytes:796156554 (759.2 MiB) TX bytes:195806376 (186.7 MiB)
Interrupt:5 Base address:0xc800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:9248 errors:0 dropped:0 overruns:0 frame:0
TX packets:9248 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:849790 (829.8 KiB) TX bytes:849790 (829.8 KiB)
Saludos y Gracias
Luciano
______________________________________________
WWW.COM.AR ~ Tu Identidad en Internet
Todavia no tenes tu e-mail vos@vos con POP3 e Internet Gratis
Reply to: