Re: Notavo en IPTABLES
----- Original Message -----
From: "max" <mota.vnz@gmail.com>
To: <debian-user-spanish@lists.debian.org>
Sent: Thursday, March 02, 2006 11:03 AM
Subject: Notavo en IPTABLES
>Buenas a todos, estoy aprendiendo IPTABLEs y para ello decidí colocar las
>todas las politicas por defecto en DROP.
>En fín, se me han presentado dos dudas.
>Cuando voy a hacer ping desde la computadora no puedo. Y tampoco recibe los
>ping
>Entoces me decidí a hacer la siguiente regla en IPTABLES pero no me
>funciona:
>
>$ iptables -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT
>$ iptables -t filter -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
>¿Qué tengo de malo?
>
>Quiero abrir el puerto 80 también y no puedo, la regla es esta.
>
>$ iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
>$ iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
DROP por defecto es un camino duro... pero es el mejor, claro
Tienes que autorizar no solo los mensajes que recibes o emites sino tambien sus
respuestas.
Por ejemplo, para servidor web:
# Aceptamos acceso www
$IPTABLES -A INPUT -i eth0 -s 0.0.0.0/0 -p tcp -m tcp --dport 80 -j ACCEPT
# ...y conexiones salientes relacionadas
$IPTABLES -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j
ACCEPT
Pero tambien para cliente web (navegar)
# Permitimos que local pueda salir a la web
$IPTABLES -A INPUT -i eth0 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j
ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Lo mismo para ping, para https (443), etc.
http://www.guimi.net/index.php?pag_id=tec-docs/recetas/iptables.html
>La verdad no me funciona saben porqué?
>
>Espero que me ayuden, gracias
Saludos
Guimi
http://www.guimi.net
Reply to: