[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: IPTABLES ayuda.

Julián Esteban Perconti escreveu:

Miguel Da Silva - Centro de Matemática escribió:

Hacés forward de todos los puertos altos, no es muy aconsejable.
Si tenés esto en un gateway para un red Windows, "sos boleta". Es justo lo que un "Trojan Horse" necesita. Además, fijate que dejás entrar paquetes nuevos hacia tu red.
En casa tengo es casi lo mismo que vos, y siguen abajo lo que tengo (y que funciona con derecho a portforwarding ;)): 

# Forward.
echo "1" > /proc/sys/net/ipv4/ip_forward

# La regla abajo va para solucionar las cag*** que Microsoft suele hacer.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 5662 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5665 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5672 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT 

# NAT para la PC Windows.
iptables -t nat -A POSTROUTING -s mariana01 -j MASQUERADE

# Emule para mariana01
iptables -A PREROUTING -t nat -p tcp --dport 5662 -i ppp0 -j DNAT --to 10.0.0.2:5662 iptables -A PREROUTING -t nat -p udp --dport 5665 -i ppp0 -j DNAT --to 10.0.0.2:5665 iptables -A PREROUTING -t nat -p udp --dport 5672 -i ppp0 -j DNAT --to 10.0.0.2:5672
En la eth1 va el Windows de casa y en la eth0 iria el modem ADSL. Detalle para la regla que arregla la vieja mania de Microsoft de querer re-inventar la rueda (y de hacerlo mal). Más detalles, los puertos del p2p en la PC Windows son los que dicen en las reglas arriba (bueno, no quiero ser molesto, pero estas reglas están en página de emule). 

Saludos.


Ok, miguel acabo de probrar de la siguiente manera:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 --dport 2000 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.2 --dport 2010 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 2000 -i ppp0 -j DNAT --to 192.168.0.2:2000 iptables -A PREROUTING -t nat -p udp --dport 2010 -i ppp0 -j DNAT --to 192.168.0.2:2010
ID ALTA! Pero "iptables -A FORWARD -i eth1 -j ACCEPT" esto no es lo mismo que aceptar todo? osea.. en las lineas de arriba yo lo hice bien a lo bruto, fue un ejemplo y se que es una locura.. pero no ultimo que quiero hacer es forwardear todo... como lo estoy haciendo con esta linea "iptables -A FORWARD -i eth1 -j ACCEPT" de heco solo forwardeo los menores a 1024 ...., de ahi para arriba cierro..., por eso el problema mio esta en como hacer andar el emule sin forwadear todos los paquetes, ya sea de ppp0 o eth1. si le saco la iface a esa linea es los mismo que nada.. es decir.. para que pongo la policy en drop si mas abajo abro un caño enorme....... 

Muchas Gracias....




Bueno.. la respuesta es: depende!!!
Estas reglas las tengos en el PC de casa y allí hay 2 PC: 1 Linux y 1 Windows. Ellos se conectan entre sí a través de un cable cruzado y la tarjeta eth1 es la que permite esta conexión.
En vista de esto, la regla "iptables -A FORWARD -i eth1 -j ACCEPT" sí permite todo. Además es lo que quiero, así los usuarios del Windows tienen acceso a internet irrestrícto.
Esta regla la podés ajustar a tus necesidades; se puede agregar puertos, usar el sistema de "connection tracking" y dejar que salgan solo los paquetes RELATED, ESTABLISHED, etc... depende de lo que vayas a necesitar. 

Si hay dudas, mandá preguntas para la lista... así aprendemos todos.

Saludos!!!
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy
Reply to: