> > según creo, tienes que indicar algo como ESTABLISHED y RELATED > (consultar el man) para las conexiones entrantes, así no dejas que desde > fuera te inicien una conexión a un pc de la red que no sea el que hace > de router, pero permites las respuestas a las conexiones que se hayan > establecido desde la red. > > un saludo > > -- > -- > . > . javier > . > -- > __ Si, pero para ello tengo que hacer una linea indicando que permita la salida del puerto concreto. Por ejemplo: #salida puerto 80 iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS). ... y entonces para que me permita la entrada por ese puerto que he habierto desde dentro tengo que hacer: iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT. (Esto me permite la entrada por el 80 si la conexión ha sido establecida desde mi red). Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP. Es lo que no se si es posible -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 http://www.humano.ya.com/bruli
Attachment:
pgpAkyV5H5OAW.pgp
Description: PGP signature