Pablo Braulio escribió:
según creo, tienes que indicar algo como ESTABLISHED y RELATED (consultar el man) para las conexiones entrantes, así no dejas que desde fuera te inicien una conexión a un pc de la red que no sea el que hace de router, pero permites las respuestas a las conexiones que se hayan establecido desde la red. un saludo -- -- . . javier . -- __Si, pero para ello tengo que hacer una linea indicando que permita la salida del puerto concreto. Por ejemplo:#salida puerto 80iptables -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT (esto me permite la salida por el puerto 80 de las conexiones interiores NUEVAS).... y entonces para que me permita la entrada por ese puerto que he habierto desde dentro tengo que hacer:iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT. (Esto me permite la entrada por el 80 si la conexión ha sido establecida desde mi red).Mi duda reside en que necesito configurar un firewall que permita las salidas por todos los puertos desde el interior (sin tener que especificar uno a uno) y deje la entrada si la conexión se ha iniciado desde dentro. Por supuesto que deniegue toda conexión desde el exterior. Esto con una politica ACCEPT lo hago, pero me gustaría hacerla con DROP. Es lo que no se si es posible
Según "Iptables Tutorial 1.1.19" de Oskar Andreasson, si no especificas ningún puerto en --dport ó --sport, la regla se refiere a todos los
puertos. Si esto es así tus reglas serían:iptables -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT Un saludo Manuel Parrilla.