Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
From: "Matías A. Bellone" <matiasbellone@gmail.com>
Date: Mon, 21 Apr 2008 00:13:00 -0300
Message-id: <[🔎] 480C063C.6080105@gmail.com>
In-reply-to: <480C0315.1050702@gmail.com>
References: <[🔎] 480BC0B7.5060801@gmail.com> <c3dd3d190804201532v17349592q1a9dc7e4d77b14ad@mail.gmail.com> <480C0315.1050702@gmail.com>

ciracusa wrote:

Matias gracias por tu respuesta.

Te respondo entre tus lineas:

Matías Bellone wrote:

2008/4/20 ciracusa <ciracusa@gmail.com>:

 iptables -t nat -A PREROUTING -p tcp -i eth0 -s $LAN --dport 2510 -j
 DNAT --to 192.168.5.1:2510
Y aquí se sucede el problema, ya que esta aplicacion luego deconectarse
 al port 2510 abre otros puertos de manera dinámica:


Esto quiere decir que es algo específico del protocolo. El firewall,
en primera instancia, no sabe nada de eso.

Ok. Esto es una aplicación que se conecta a una BDD en progress. Nada deftp o similar.


Entonces no deberías de necesitar nada. (leer más abajo)

 He probado agregar a esta linea -m state --state NEW, ESTABLISHED,
 RELATED y tampoco funciona


Fijate que si estás "agregando" a la línea, sigue siendo sólo válido
para el puerto 2510. Lo que vos querés hacer es abrir otros puertos,
por lo que tendrías que poner una regla que forwardee todo lo que sea
ESTABLISHED o RELATED a las máquinas que corresponde.

OK.

Si las conexiones son realizadas siempre desde adentro, entonces nodeberías de tener problemas.


Tienes que agregar dos líneas:

1- dejar salir conexiones de la PC a la IP (o IPs) de la base de datos.Si no tiene las IP, lo dejas irrestricto pero también puedesrestringirlo si conoces el rango de puertos en el que se maneja.2- dejar entrar cualquier conexión ESTABLISHED (no estoy seguro si hacefalta RELATED también).

De esa forma el sistema podrá salir a pedir conexiones nuevas, ycualquier respuesta podrá entrar porque será parte de una conexiónestablecida.


Creo.

Sin embargo, para que eso funcione, el sistema de seguimiento de
paquetes (conntrack) necesita saber de eso para que pueda marcar los
paquetes de conexiones relacionadas como corresponden. Para que haga
eso probablemente necesites tener el módulo correspondiente cargado.
Que yo sepa hay dos protocolos muy conocidos que hacen cosas como
esta: FTP y SIP. Para ambos vienen módulos de conntrack que tenés que
cargar y el sistema va a marcar las conexiones correspondientes.

Tenes algún ejemplo como para solucionarlo?

En tu caso no, porque por lo general sólo vale para protocolos quenecesita abrir puertos entrantes según información dentro del protocolo(passive file transfer para FTP, media para SIP).

Pero a lo mejor no hace falta; todo depende del protocolo.


En este caso, tengo entendido que no haría falta.

Saludos,
Toote

Reply to:

Follow-Ups:
- Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
  - From: ciracusa <ciracusa@gmail.com>

References:
- Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
  - From: ciracusa <ciracusa@gmail.com>

Prev by Date: Protecion Integral casa Familia con solo una cuota
Next by Date: Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
Previous by thread: Fwd: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
Next by thread: Re: Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion
Index(es):
- Date
- Thread