msn y iptables
Hola, tengo un servidor con politicas drop, filtro por mac address y
squid, y todo anda bastante bien escepto el msn 7.5 que no hay forma de
que funcione bien va directamente no funciona me tira en 2 pc el error
"el servicio esta muy ocupado intentelo de nuevo mas tarde" y en otra
uno como que no tengo internet o me bloquea un firewall..
la cosa que ante la duda tire las politicas del firewall a accept, pero
sigue sin funcionar no tengo idea que podria estarme pasando si me dan
un manito se los agradeceria, posteo el firewall por si sirve:
#!/bin/sh
#VARIABLE DEL FIREWALL
IPT="iptables"
LAN="eth1"
INET="ppp0"
IPLAN="192.168.1.0/24"
#VARIABLES DE IP/MAC
IPCOCINA="192.168.1.3"
MACOCINA="00:0B:6A:D4:AC:AC"
NTB="192.168.1.200"
MACNOTEBOOK="00:06:1B:C6:64:B9"
IPMAIOLO="192.168.1.5"
MAIOLO="00:11:D8:F9:74:4A"
#LIMPIAMOS REGLAS ANTERIORES
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t filter -F
$IPT -t filter -X
$IPT -F OUTPUT
$IPT -F INPUT
$IPT -F FORWARD
$IPT -F
$IPT -X
#POLITICAS DE ACCESO
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
#ACTIVAMOS NAT
$IPT -t nat -A POSTROUTING -o $INET -s $IPLAN -j MASQUERADE
#ACTIVAMOS EL RETORNO DE LOS PAQUETES, CON LO QUE SOLO ESPECIFICAREMOS
UNA REGLA
$IPT -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#LOOPBACK
$IPT -A INPUT -m state --state NEW -i lo -j ACCEPT
#ICMP PARA LA RED LOCAL
$IPT -A INPUT -m state --state NEW -p icmp -i $LAN -j ACCEPT
#REGLAS DEL FILTRADO PARA EL SERVIDOR
#--------------------------------------------------------------------------------------------------------------#
#UNICAMENTE LA NOTEBOOK PUEDA CONECTAR POR SSH
$IPT -A INPUT -i $LAN -m state --state NEW -s $NTB -m mac --mac
$MACNOTEBOOK -p tcp --dport 22 -j ACCEPT
#PERMITIMOS ACCESO A APACHE, LAS IP CONOCIDOS NO PODRAN ENTRAR, EXCEPTO
MI NOTEBOOK
$IPT -A INPUT -s $IPCOCINA -m state --state NEW -m mac --mac $MACOCINA
-p tcp --dport 8080 -j REJECT
$IPT -A INPUT -i $LAN -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#HABILITAMOS SQUID
$IPT -A INPUT -m state --state NEW -i $LAN -p tcp --dport 3128 -j ACCEPT
#PERMITIMOS LA NAVEGACION HTTP/HTTPS
$IPT -A OUTPUT -o $INET -m state --state NEW -p tcp -m multiport
--destination-ports 80,443 -j ACCEPT
#HABILITAMOS LA RESOLUCION DE DNS EN EL SERVIDOR
$IPT -A OUTPUT -o $INET -m state --state NEW -p udp --dport 53 -j ACCEPT
#CORREO
$IPT -A OUTPUT -o $INET -m state --state NEW -p tcp --dport 25 -j ACCEPT
#HABILITAMOS LA SALIDA ICMP
$IPT -A OUTPUT -o $INET -m state --state NEW -p icmp -j ACCEPT
#EMPEZAMOS CON LAS REGLAS DE FILTRADO
#--------------------------------------------------------------------------------------------------------------#
#SSH
$IPT -A FORWARD -m state --state NEW -p tcp -s $IPLAN --dport 22 -j ACCEPT
#ICMP
$IPT -A FORWARD -m state --state NEW -p icmp -i $LAN -j ACCEPT
#DNS
$IPT -A FORWARD -m state --state NEW -p udp -s $IPLAN --dport 53 -j ACCEPT
#TRAFICO HTTP/HTPPS
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
--destination-ports 80,443 -j ACCEPT
#TRAFICO FTP
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 20:21 -j
ACCEPT
#CORREO POP3 SMTP
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
--destination-ports 25,143,110 -j ACCEPT
#IRC
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 6667:6669
-j ACCEPT
#MSN MESSENGER
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
--destination-ports 1863,6901 -j ACCEPT
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 6891:6900
-j ACCEPT
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p udp --dport 60091 -j
ACCEPT
#CORREO GMAIL
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
--destination-ports 995,587 -j ACCEPT
#JUEGOS YAHOO
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport
11000:12000 -j ACCEPT
#ARES
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 44011 -j
ACCEPT
$IPT -A FORWARD -m state --state NEW -s $IPLAN -p udp --dport 44011 -j
ACCEPT
#MARCADO DE PAQUETES PARA EL FILTRADO CON HTB
#----------------------------------------------------------------------------------------------------------------#
$IPT -A FORWARD -t mangle -s $IPCOCINA -j MARK --set-mark 1
$IPT -A FORWARD -t mangle -s $NTB -j MARK --set-mark 3
$IPT -A FORWARD -t mangle -s $IPMAIOLO -j MARK --set-mark 2
#REDIRECCIONES Y FILTRO POR MAC ADDRESS
#----------------------------------------------------------------------------------------------------------------#
#PC COCINA
$IPT -t nat -A PREROUTING -i $LAN -s $IPCOCINA -m mac --mac $MACOCINA -p
tcp --dport 80 -j REDIRECT --to-port 3128
#NOTEBOOK
$IPT -t nat -A PREROUTING -i $LAN -s $NTB -m mac --mac $MACNOTEBOOK -p
tcp --dport 80 -j REDIRECT --to-port 3128
#MAIOLO
$IPT -t nat -A PREROUTING -i $LAN -s $IPMAIOLO -m mac --mac $MAIOLO -p
tcp --dport 80 -j REDIRECT --to-port 3128
#DENEGAMOS LOS DEMAS
$IPT -t nat -A PREROUTING -i $LAN -s $IPLAN -p tcp --dport 80 -j
REDIRECT --to-port 8080
PD: Agradesco cualquier mejora al codigo del firewall Gracias!!
Reply to: