Re: IPTABLES ayuda.

To: DUS <debian-user-spanish@lists.debian.org>
Subject: Re: IPTABLES ayuda.
From: Miguel Da Silva - Centro de Matemática <mdasilva@cmat.edu.uy>
Date: Fri, 27 Jun 2008 13:39:19 -0300
Message-id: <[🔎] 486517B7.6080100@cmat.edu.uy>
In-reply-to: <[🔎] 486506BE.6010709@yahoo.com.ar>
References: <[🔎] 486506BE.6010709@yahoo.com.ar>

Julián Esteban Perconti escribió:

Hola listeros... sigo renegando con los p2p, mientras la politica de lacadena forward esta en drop.
quisiera preguntarles que riesgo implican estas 4 lineas, estando todala tabla filter en drop.
iptables -t filter -A FORWARD -o ppp0 -p tcp --sport 1024:65535 --dport1024:65535 -j ACCEPTiptables -t filter -A FORWARD -o ppp0 -p udp --sport 1024:65535 --dport1024:65535 -j ACCEPTiptables -t filter -A FORWARD -i ppp0 -p tcp --sport 1024:65535 --dport1024:65535 -j ACCEPTiptables -t filter -A FORWARD -i ppp0 -p udp --sport 1024:65535 --dport1024:65535 -j ACCEPT
Gracias.


Hacés forward de todos los puertos altos, no es muy aconsejable.

Si tenés esto en un gateway para un red Windows, "sos boleta". Es justolo que un "Trojan Horse" necesita. Además, fijate que dejás entrarpaquetes nuevos hacia tu red.

En casa tengo es casi lo mismo que vos, y siguen abajo lo que tengo (yque funciona con derecho a portforwarding ;)):


# Forward.
echo "1" > /proc/sys/net/ipv4/ip_forward

# La regla abajo va para solucionar las cag*** que Microsoft suele hacer.

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS--clamp-mss-to-pmtu

iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 5662 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5665 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5672 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# NAT para la PC Windows.
iptables -t nat -A POSTROUTING -s mariana01 -j MASQUERADE

# Emule para mariana01

iptables -A PREROUTING -t nat -p tcp --dport 5662 -i ppp0 -j DNAT --to10.0.0.2:5662iptables -A PREROUTING -t nat -p udp --dport 5665 -i ppp0 -j DNAT --to10.0.0.2:5665iptables -A PREROUTING -t nat -p udp --dport 5672 -i ppp0 -j DNAT --to10.0.0.2:5672

En la eth1 va el Windows de casa y en la eth0 iria el modem ADSL.Detalle para la regla que arregla la vieja mania de Microsoft de quererre-inventar la rueda (y de hacerlo mal). Más detalles, los puertos delp2p en la PC Windows son los que dicen en las reglas arriba (bueno, noquiero ser molesto, pero estas reglas están en página de emule).


Saludos.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy

Reply to:

Follow-Ups:
- Re: IPTABLES ayuda.
  - From: Julián Esteban Perconti <vh1988@yahoo.com.ar>

References:
- IPTABLES ayuda.
  - From: Julián Esteban Perconti <vh1988@yahoo.com.ar>

Prev by Date: Re: IPTABLES ayuda.
Next by Date: Re: IPTABLES ayuda.
Previous by thread: Re: IPTABLES ayuda.
Next by thread: Re: IPTABLES ayuda.
Index(es):
- Date
- Thread