Re: Iptables no Dropea

To: Luciano Giacchetta <giacchetta@luciano.net.ar>, debian-user-spanish@lists.debian.org
Subject: Re: Iptables no Dropea
From: Alfonso Alba Garcia <aalbagarcia@wanadoo.es>
Date: Tue, 23 Mar 2004 16:13:38 +0200
Message-id: <[🔎] 1080051218.1022.64.camel@carita>
In-reply-to: <[🔎] W52007298168531080052501@fserver>
References: <[🔎] W52007298168531080052501@fserver>

> iptables -A INPUT -j ACCEPT -p tcp -i eth1 --syn -m limit --limit 1/s

Hola, no soy un experto en iptables y puedo decir una tontería, pero me
parece que el problema puede estar en esta regla. De la página de
manual:

"[!] --syn
Only match TCP packets with the SYN bit set and the ACK  and  FIN  bits 
cleared. __Such packets  are used to request TCP connection
initiation__; for example, blocking such packets coming in an interface
will prevent incoming TCP connections, but outgoing TCP  connections 
will  be unaffected.  It is equivalent to --tcp-flags SYN,RST,ACK SYN. 
If the "!" flag precedes the "--syn", the sense of the option is
inverted."

es decir, la regla que has puesto acepta cualquier petición de conexión
al interfaz eth1 en cualquier puerto, y como tienes además la regla

> iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

la conexión se puede realizar. ¿has probado a quitar esa regla a ver qué
pasa?

Reply to:

References:
- Re: Iptables no Dropea
  - From: "Luciano Giacchetta" <giacchetta@luciano.net.ar>

Prev by Date: Re: Xterm transparente
Next by Date: Reportes del cron
Previous by thread: Re: Iptables no Dropea
Next by thread: Re: Iptables no Dropea
Index(es):
- Date
- Thread