Fwd: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
Se me fue al privado, perdón
---------- Forwarded message ----------
From: Matías Bellone <matiasbellone@gmail.com>
Date: 2008/4/20
Subject: Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
To: ciracusa <ciracusa@gmail.com>
2008/4/20 ciracusa <ciracusa@gmail.com>:
> iptables -t nat -A PREROUTING -p tcp -i eth0 -s $LAN --dport 2510 -j
> DNAT --to 192.168.5.1:2510
>
> Y aquí se sucede el problema, ya que esta aplicacion luego de conectarse
> al port 2510 abre otros puertos de manera dinámica:
Esto quiere decir que es algo específico del protocolo. El firewall,
en primera instancia, no sabe nada de eso.
>
> He probado agregar a esta linea -m state --state NEW, ESTABLISHED,
> RELATED y tampoco funciona
Fijate que si estás "agregando" a la línea, sigue siendo sólo válido
para el puerto 2510. Lo que vos querés hacer es abrir otros puertos,
por lo que tendrías que poner una regla que forwardee todo lo que sea
ESTABLISHED o RELATED a las máquinas que corresponde.
Sin embargo, para que eso funcione, el sistema de seguimiento de
paquetes (conntrack) necesita saber de eso para que pueda marcar los
paquetes de conexiones relacionadas como corresponden. Para que haga
eso probablemente necesites tener el módulo correspondiente cargado.
Que yo sepa hay dos protocolos muy conocidos que hacen cosas como
esta: FTP y SIP. Para ambos vienen módulos de conntrack que tenés que
cargar y el sistema va a marcar las conexiones correspondientes.
Pero a lo mejor no hace falta; todo depende del protocolo.
Saludos,
Toote
--
Web: http://www.enespanol.com.ar
--
Web: http://www.enespanol.com.ar
Reply to: