2006/8/29, Felipe Sateler <fsateler@gmail.com>:
Leonardo Vizcaya wrote:
> Saludos a todos.
>
> En estos momentos estoy configurando un corta fuegos en un servidor que
> esta sirviendo de DNS, de forma recursiva hacia mi red y no recursiva
> hacia afuera, el problema es que cuando le coloco al script el input
> output drop por defecto, el dns no me resuelve, les pongo el script
para
> ser mas claro:
>
> #!/bin/sh
>
> echo iniciando el Script del Corta Fuegos... \
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
>
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
>
> iptables -A INPUT -p udp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
>
> iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp --dport 53 -j ACCEPT
>
>
>
Quizas te falte
echo "1" > /proc/sys/net/ipv4/ip_forward
si no es eso, usa ethereal y santo remedio!
> Lo que quiero hacer que todos los puertos esten cerrados y solo abra
los
> 53 y 22, pero el dns no me resuelve :-(
No soy muy experto en esto, pero creo que al permitir sólo los
paquetes tcp
y udp estás bloqueando la pasada a los del dns. ¿Tienes el mismo problema
si sacas las opciones -p?
> De ante mano Gracias.
--
Felipe Sateler
--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org