[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: msn y iptables



On Tuesday 29 November 2005 05:41, Fernando wrote:
> Hola, tengo un servidor con politicas drop, filtro por mac address y
> squid, y todo anda bastante bien escepto el msn 7.5 que no hay forma de
> que funcione bien va directamente no funciona me tira en 2 pc el error
> "el servicio esta muy ocupado intentelo de nuevo mas tarde" y en otra
> uno como que no tengo internet o me bloquea un firewall..
> la cosa que ante la duda tire las politicas del firewall a accept, pero
> sigue sin funcionar no tengo idea que podria estarme pasando  si me dan
> un manito se los agradeceria, posteo el firewall por si sirve:
>
> #!/bin/sh
>
> #VARIABLE DEL FIREWALL
> IPT="iptables"
> LAN="eth1"
> INET="ppp0"
> IPLAN="192.168.1.0/24"
>
> #VARIABLES DE IP/MAC
> IPCOCINA="192.168.1.3"
> MACOCINA="00:0B:6A:D4:AC:AC"
> NTB="192.168.1.200"
> MACNOTEBOOK="00:06:1B:C6:64:B9"
> IPMAIOLO="192.168.1.5"
> MAIOLO="00:11:D8:F9:74:4A"
>
> #LIMPIAMOS REGLAS ANTERIORES
> $IPT -t nat -F
> $IPT -t nat -X
> $IPT -t mangle -F
> $IPT -t mangle -X
> $IPT -t filter -F
> $IPT -t filter -X
> $IPT -F OUTPUT
> $IPT -F INPUT
> $IPT -F FORWARD
> $IPT -F
> $IPT -X
>
> #POLITICAS DE ACCESO
> $IPT -P INPUT DROP
> $IPT -P OUTPUT DROP
> $IPT -P FORWARD DROP
>
> #ACTIVAMOS NAT
> $IPT -t nat -A POSTROUTING -o $INET -s $IPLAN -j MASQUERADE
>
> #ACTIVAMOS EL RETORNO DE LOS PAQUETES, CON LO QUE SOLO ESPECIFICAREMOS
> UNA REGLA
> $IPT -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPT -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> $IPT -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> #LOOPBACK
> $IPT -A INPUT -m state --state NEW -i lo -j ACCEPT
>
> #ICMP PARA LA RED LOCAL
> $IPT -A INPUT -m state --state NEW -p icmp -i $LAN -j ACCEPT
>
> #REGLAS DEL FILTRADO PARA EL SERVIDOR
> #--------------------------------------------------------------------------
>------------------------------------#
>
> #UNICAMENTE LA NOTEBOOK PUEDA CONECTAR POR SSH
> $IPT -A INPUT -i $LAN -m state --state NEW -s $NTB -m mac --mac
> $MACNOTEBOOK -p tcp --dport 22 -j ACCEPT
>
> #PERMITIMOS ACCESO A APACHE, LAS IP CONOCIDOS NO PODRAN ENTRAR, EXCEPTO
> MI NOTEBOOK
> $IPT -A INPUT -s $IPCOCINA -m state --state NEW -m mac --mac $MACOCINA
> -p tcp --dport 8080 -j REJECT
> $IPT -A INPUT -i $LAN -m state --state NEW -p tcp --dport 8080 -j ACCEPT
>
> #HABILITAMOS SQUID
> $IPT -A INPUT -m state --state NEW -i $LAN -p tcp --dport 3128 -j ACCEPT
>
> #PERMITIMOS LA NAVEGACION HTTP/HTTPS
> $IPT -A OUTPUT -o $INET -m state --state NEW -p tcp -m multiport
> --destination-ports 80,443 -j ACCEPT
>
> #HABILITAMOS LA RESOLUCION DE DNS EN EL SERVIDOR
> $IPT -A OUTPUT -o $INET -m state --state NEW -p udp --dport 53 -j ACCEPT
>
> #CORREO
> $IPT -A OUTPUT -o $INET -m state --state NEW -p tcp --dport 25 -j ACCEPT
>
>
> #HABILITAMOS LA SALIDA ICMP
> $IPT -A OUTPUT -o $INET -m state --state NEW -p icmp -j ACCEPT
>
> #EMPEZAMOS CON LAS REGLAS DE FILTRADO
> #--------------------------------------------------------------------------
>------------------------------------#
>
> #SSH
> $IPT -A FORWARD -m state --state NEW -p tcp -s $IPLAN --dport 22 -j ACCEPT
>
> #ICMP
> $IPT -A FORWARD -m state --state NEW -p icmp -i $LAN -j ACCEPT
>
> #DNS
> $IPT -A FORWARD -m state --state NEW -p udp -s $IPLAN --dport 53 -j ACCEPT
>
> #TRAFICO HTTP/HTPPS
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
> --destination-ports 80,443 -j ACCEPT
>
> #TRAFICO FTP
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 20:21 -j
> ACCEPT
>
> #CORREO POP3 SMTP
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
> --destination-ports 25,143,110 -j ACCEPT
>
> #IRC
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 6667:6669
> -j ACCEPT
>
> #MSN MESSENGER
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
> --destination-ports 1863,6901 -j ACCEPT
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 6891:6900
> -j ACCEPT
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p udp --dport 60091 -j
> ACCEPT
>
> #CORREO GMAIL
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp -m multiport
> --destination-ports 995,587 -j ACCEPT
>
> #JUEGOS YAHOO
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport
> 11000:12000 -j ACCEPT
>
> #ARES
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p tcp --dport 44011 -j
> ACCEPT
> $IPT -A FORWARD -m state --state NEW -s $IPLAN -p udp --dport 44011 -j
> ACCEPT
>
> #MARCADO  DE PAQUETES PARA EL FILTRADO CON HTB
> #--------------------------------------------------------------------------
>--------------------------------------# $IPT -A FORWARD -t mangle -s
> $IPCOCINA -j MARK --set-mark 1
> $IPT -A FORWARD -t mangle -s $NTB -j MARK --set-mark 3
> $IPT -A FORWARD -t mangle -s $IPMAIOLO -j MARK --set-mark 2
>
> #REDIRECCIONES Y FILTRO POR MAC ADDRESS
> #--------------------------------------------------------------------------
>--------------------------------------#
>
> #PC COCINA
> $IPT -t nat -A PREROUTING -i $LAN -s $IPCOCINA -m mac --mac $MACOCINA -p
> tcp --dport 80 -j REDIRECT --to-port 3128
>
> #NOTEBOOK
> $IPT -t nat -A PREROUTING -i $LAN -s $NTB -m mac --mac $MACNOTEBOOK -p
> tcp --dport 80 -j REDIRECT --to-port 3128
>
> #MAIOLO
> $IPT -t nat -A PREROUTING -i $LAN -s $IPMAIOLO -m mac --mac $MAIOLO -p
> tcp --dport 80 -j REDIRECT --to-port 3128
>
> #DENEGAMOS LOS DEMAS
> $IPT -t nat -A PREROUTING -i $LAN -s $IPLAN -p tcp --dport 80 -j
> REDIRECT --to-port 8080

En principio te recomendaría que logearas todo lo que el firewall rechaza. Si 
no he leido mal tu script, con que colocaras al final estas reglas valdría:

$IPT -A INPUT -j LOG
$IPT -A INPUT -j DROP

$IPT -A OUTPUT -j LOG
$IPT -A OUTPUT -j DROP

$IPT -A FORWARD -j LOG
$IPT -A FORWARD -j DROP

Ahora, cuando intentes iniciar una sesion de msn, mira /var/log/syslog para 
ver que es lo que esta rechazando el firewall. Así sabras que puertos debes 
abrir.

También te recomendaría que dividieses el script en tablas dependiendo de 
donde entra el tráfico y hacia donde va. Así es más fácil y más claro 
modificarlo y mantenerlo. Mira en los archivos de la lista, hace poco 
hablamos de ello.

Un saludo.

Attachment: pgpxRfVsOKrKo.pgp
Description: PGP signature


Reply to: