Re: reglas iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: reglas iptables
From: Pedro Pozuelo <aerislives@gmail.com>
Date: Tue, 5 Apr 2005 02:08:07 +0200
Message-id: <[🔎] fdaaf4c00504041708ec95769@mail.gmail.com>
Reply-to: Pedro Pozuelo <aerislives@gmail.com>
In-reply-to: <[🔎] 20050404140139.25585.qmail@web53810.mail.yahoo.com>
References: <[🔎] 20050404140139.25585.qmail@web53810.mail.yahoo.com>

On Apr 4, 2005 4:01 PM, Javier Alberto Alvarez <jvralvarez@yahoo.com> wrote:
> Gente cuando pongo las politicas en accept todo anda, cuando lo paso a
> drop y habro los puertos que quiero, el correo ya no se conecta, uso
> proxy en el 3128 y samba, la eth1 conecta a internet y la eth0 a
> intranet.
> que me falta habilitar para poder bajar el correo pop?

¿Desde qué máquina no puedes descargar el correo?, ¿desde el servidor,
o desde las estaciones de la intranet?.
Voy comentandote un par de cositas que he visto más abajo...


> saludos y gracias a todos.
> las reglas son:
> 
> # Inicio vaciando las reglas
> $iptables -F
> $iptables -X
> $iptables -Z
> 
> ## Esta regla es para limpiar las reglas de nat.
> $iptables -t nat -F
> 
> # Definicion de politicas
> $iptables -P INPUT DROP
> $iptables -P OUTPUT ACCEPT
> $iptables -P FORWARD DROP
> $iptables -t nat -P PREROUTING ACCEPT
> $iptables -t nat -P POSTROUTING ACCEPT
> 
> # Aceptacio n de conexiones prestablecidas
> $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> $iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Como tienes como política por defecto OUTPUT en ACCEPT, esta linea sobra.


> $iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> # Acepta acceso al puerto 22
> $iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> 
> # Acepta acceso al puerto 25
> $iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

Por esta regla deduzco que el problema lo tienes para descargar el
correo desde el servidor. Para solucionarlo habría que añadir algo
así:
$iptables -A INPUT -p tcp --dport 25 -j ACCEPT


> 
> # Acepta acceso al puerto 53
> $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 53 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> $iptables -A INPUT -p udp --dport 53 -j ACCEPT
> 
Si tienes el servidor tiene montado un servidor DNS - como sugieren
tus reglas de INPUT - ¿para qué necesitas las reglas FORWARD relativas
a DNS? (o viceversa ;-) )


> # Acepta acceso al puerto 80
> $iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> 
> # Acepta acceso al puerto 110
> $iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 110 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> $iptables -A INPUT -p udp --dport 110 -j ACCEPT
> 
> # IMAP
> $iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p tcp --dport 1430 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 1430 -j ACCEPT
> 
> # Acepta acceso al MSN
> $iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
> #$iptables -A FORWARD -p udp --dport 1900 -j ACCEPT
> 
> # Acepta acceso al puerto 3128
> $iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP
> $iptables -A INPUT -i eth1 -p udp --dport 3128 -j DROP
> $iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
> $iptables -A INPUT -p udp --dport 3128 -j ACCEPT
> #$iptables -A PREROUTING -p tcp --dport 3128 -j ACCEPT

Podrías simplificar un poco esto.
Teniendo en cuenta que cuantas menos reglas, menos carga sufrirá el
servidor. Aunque en este caso es más por "la forma correcta de
hacerlo" aunque lo que tienes también sea correcto...
$iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
$iptables -A INPUT -i eth0 -p udp --dport 3128 -j ACCEPT

La última linea sobraría, porque tienes la política por defecto en ACCEPT


> 
> # puertos samba de entrada por puertos samba.
> ## red 192.168.0.0/24
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 445 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 445 -j
> ACCEPT
> 
> JaViEr A. Alvarez

Creo que una vez más me he extralimitado respondiendo XDDDDD

Un saludo!


> *********************************************
> Linux User #127940
> User: jvralvarez Domain: jabber.org
> 
> ___________________________________________________________
> 250MB gratis, Antivirus y Antispam
> Correo Yahoo!, el mejor correo web del mundo
> http://correo.yahoo.com.ar
> 
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 
>

Reply to:

References:
- reglas iptables
  - From: Javier Alberto Alvarez <jvralvarez@yahoo.com>

Prev by Date: Re: [SPAM DETECT] Re: [SPAM DETECT] Re: Re:Mozilla Firefox 1.0.0 y extensiones
Next by Date: Re: Balanceo de canales de internet
Previous by thread: Re: reglas iptables
Next by thread: Re: reglas iptables
Index(es):
- Date
- Thread