Re: reglas iptables
On Apr 4, 2005 4:01 PM, Javier Alberto Alvarez <jvralvarez@yahoo.com> wrote:
> Gente cuando pongo las politicas en accept todo anda, cuando lo paso a
> drop y habro los puertos que quiero, el correo ya no se conecta, uso
> proxy en el 3128 y samba, la eth1 conecta a internet y la eth0 a
> intranet.
> que me falta habilitar para poder bajar el correo pop?
¿Desde qué máquina no puedes descargar el correo?, ¿desde el servidor,
o desde las estaciones de la intranet?.
Voy comentandote un par de cositas que he visto más abajo...
> saludos y gracias a todos.
> las reglas son:
>
> # Inicio vaciando las reglas
> $iptables -F
> $iptables -X
> $iptables -Z
>
> ## Esta regla es para limpiar las reglas de nat.
> $iptables -t nat -F
>
> # Definicion de politicas
> $iptables -P INPUT DROP
> $iptables -P OUTPUT ACCEPT
> $iptables -P FORWARD DROP
> $iptables -t nat -P PREROUTING ACCEPT
> $iptables -t nat -P POSTROUTING ACCEPT
>
> # Aceptacio n de conexiones prestablecidas
> $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> $iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Como tienes como política por defecto OUTPUT en ACCEPT, esta linea sobra.
> $iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> # Acepta acceso al puerto 22
> $iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>
> # Acepta acceso al puerto 25
> $iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
Por esta regla deduzco que el problema lo tienes para descargar el
correo desde el servidor. Para solucionarlo habría que añadir algo
así:
$iptables -A INPUT -p tcp --dport 25 -j ACCEPT
>
> # Acepta acceso al puerto 53
> $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 53 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> $iptables -A INPUT -p udp --dport 53 -j ACCEPT
>
Si tienes el servidor tiene montado un servidor DNS - como sugieren
tus reglas de INPUT - ¿para qué necesitas las reglas FORWARD relativas
a DNS? (o viceversa ;-) )
> # Acepta acceso al puerto 80
> $iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
> # Acepta acceso al puerto 110
> $iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 110 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> $iptables -A INPUT -p udp --dport 110 -j ACCEPT
>
> # IMAP
> $iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p tcp --dport 1430 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 1430 -j ACCEPT
>
> # Acepta acceso al MSN
> $iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
> #$iptables -A FORWARD -p udp --dport 1900 -j ACCEPT
>
> # Acepta acceso al puerto 3128
> $iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP
> $iptables -A INPUT -i eth1 -p udp --dport 3128 -j DROP
> $iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
> $iptables -A INPUT -p udp --dport 3128 -j ACCEPT
> #$iptables -A PREROUTING -p tcp --dport 3128 -j ACCEPT
Podrías simplificar un poco esto.
Teniendo en cuenta que cuantas menos reglas, menos carga sufrirá el
servidor. Aunque en este caso es más por "la forma correcta de
hacerlo" aunque lo que tienes también sea correcto...
$iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
$iptables -A INPUT -i eth0 -p udp --dport 3128 -j ACCEPT
La última linea sobraría, porque tienes la política por defecto en ACCEPT
>
> # puertos samba de entrada por puertos samba.
> ## red 192.168.0.0/24
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 445 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 445 -j
> ACCEPT
>
> JaViEr A. Alvarez
Creo que una vez más me he extralimitado respondiendo XDDDDD
Un saludo!
> *********************************************
> Linux User #127940
> User: jvralvarez Domain: jabber.org
>
> ___________________________________________________________
> 250MB gratis, Antivirus y Antispam
> Correo Yahoo!, el mejor correo web del mundo
> http://correo.yahoo.com.ar
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: