Re: Fw: Ayuda con iptables, por favor.

To: <debian-user-spanish@lists.debian.org>
Subject: Re: Fw: Ayuda con iptables, por favor.
From: <velkrox@yahoo.com.ar>
Date: Mon, 31 Jan 2005 10:21:05 -0300
Message-id: <[🔎] 040701c50797$c04c01f0$0c2aa8c0@hdserver4.ar>
References: <[🔎] 00cc01c505a7$0abb46d0$1602a8c0@thematrix.ar> <[🔎] 200501291712.35101.brulics@gmail.com>

pablo:
un par de preguntas:

esa pc la usas de gateway? porque mira que un paquete forwardeado (perdon
por la expresion) no pasa por output.

respecto a tu pregunta, porque en vez de hacer:

<quote pablo>
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
(esto me permite la salida por el puerto 80 de las conexiones interiores
NUEVAS).
</quote>

no haces:
# iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT



<quote pablo>
Mi duda reside en que necesito configurar un firewall que permita las
salidas
por todos los puertos desde el interior (sin tener que especificar uno a
uno)
</quote>

lo haces con la regla que te dije antes.


<quote pablo>
y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto
que deniegue toda conexión desde el exterior.
</quote>

# iptables -A INPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

una aclaracion nuevamente: tene en cuenta, que input es solo para los
paquetes entrantes que van destinados a la pc. no a los paquetes que estan
siendo enmascarados con nat.


cualquier cosa, pregunta.
saludos, velkro.


----- Original Message ----- 
From: "Pablo Braulio" <brulics@gmail.com>
To: <debian-user-spanish@lists.debian.org>; "Velkro" <velkrox@yahoo.com.ar>
Sent: Saturday, January 29, 2005 13:12
Subject: Re: Fw: Ayuda con iptables, por favor.


>
> según creo, tienes que indicar algo como ESTABLISHED y RELATED
> (consultar el man) para las conexiones entrantes, así no dejas que desde
> fuera te inicien una conexión a un pc de la red que no sea el que hace
> de router, pero permites las respuestas a las conexiones que se hayan
> establecido desde la red.
>
> un saludo
>
> --
> --
> .
> .   javier
> .
> --
> __

Si, pero para ello tengo que hacer una linea indicando que permita la salida
del puerto concreto. Por ejemplo:

#salida puerto 80

iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
(esto me permite la salida por el puerto 80 de las conexiones interiores
NUEVAS).

... y entonces para que me permita la entrada por ese puerto que he habierto
desde dentro tengo que hacer:

iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT.
(Esto me permite la entrada por el 80 si la conexión ha sido establecida
desde
mi red).

Mi duda reside en que necesito configurar un firewall que permita las
salidas
por todos los puertos desde el interior (sin tener que especificar uno a
uno)
y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto
que deniegue toda conexión desde el exterior.
Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP.
Es lo que no se si es posible
-- 
Saludos.
Pablo.

Fingerprint 5607 40CF 45EF D490 B794  5056 D7B2 C3DC ABF1 CE49
http://www.humano.ya.com/bruli

Reply to:

References:
- Fw: Ayuda con iptables, por favor.
  - From: "Velkro" <velkrox@yahoo.com.ar>
- Re: Fw: Ayuda con iptables, por favor.
  - From: Pablo Braulio <brulics@gmail.com>

Prev by Date: Re: Ayuda con iptables, por favor.
Next by Date: Error con Seagate ST3120022A en kernel 2.4.29
Previous by thread: Re: Fw: Ayuda con iptables, por favor.
Next by thread: Calendar
Index(es):
- Date
- Thread