[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: IPTABLES ayuda.



Miguel Da Silva - Centro de Matemática escribió:
Julián Esteban Perconti escreveu:
Miguel Da Silva - Centro de Matemática escribió:
Hacés forward de todos los puertos altos, no es muy aconsejable.

Si tenés esto en un gateway para un red Windows, "sos boleta". Es justo lo que un "Trojan Horse" necesita. Además, fijate que dejás entrar paquetes nuevos hacia tu red.

En casa tengo es casi lo mismo que vos, y siguen abajo lo que tengo (y que funciona con derecho a portforwarding ;)):

# Forward.
echo "1" > /proc/sys/net/ipv4/ip_forward

# La regla abajo va para solucionar las cag*** que Microsoft suele hacer. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 5662 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5665 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5672 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# NAT para la PC Windows.
iptables -t nat -A POSTROUTING -s mariana01 -j MASQUERADE

# Emule para mariana01
iptables -A PREROUTING -t nat -p tcp --dport 5662 -i ppp0 -j DNAT --to 10.0.0.2:5662 iptables -A PREROUTING -t nat -p udp --dport 5665 -i ppp0 -j DNAT --to 10.0.0.2:5665 iptables -A PREROUTING -t nat -p udp --dport 5672 -i ppp0 -j DNAT --to 10.0.0.2:5672

En la eth1 va el Windows de casa y en la eth0 iria el modem ADSL. Detalle para la regla que arregla la vieja mania de Microsoft de querer re-inventar la rueda (y de hacerlo mal). Más detalles, los puertos del p2p en la PC Windows son los que dicen en las reglas arriba (bueno, no quiero ser molesto, pero estas reglas están en página de emule).

Saludos.

Ok, miguel acabo de probrar de la siguiente manera:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 --dport 2000 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.2 --dport 2010 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A PREROUTING -t nat -p tcp --dport 2000 -i ppp0 -j DNAT --to 192.168.0.2:2000 iptables -A PREROUTING -t nat -p udp --dport 2010 -i ppp0 -j DNAT --to 192.168.0.2:2010

ID ALTA! Pero "iptables -A FORWARD -i eth1 -j ACCEPT" esto no es lo mismo que aceptar todo? osea.. en las lineas de arriba yo lo hice bien a lo bruto, fue un ejemplo y se que es una locura.. pero no ultimo que quiero hacer es forwardear todo... como lo estoy haciendo con esta linea "iptables -A FORWARD -i eth1 -j ACCEPT" de heco solo forwardeo los menores a 1024 ...., de ahi para arriba cierro..., por eso el problema mio esta en como hacer andar el emule sin forwadear todos los paquetes, ya sea de ppp0 o eth1. si le saco la iface a esa linea es los mismo que nada.. es decir.. para que pongo la policy en drop si mas abajo abro un caño enorme.......

Muchas Gracias....



Bueno.. la respuesta es: depende!!!

Estas reglas las tengos en el PC de casa y allí hay 2 PC: 1 Linux y 1 Windows. Ellos se conectan entre sí a través de un cable cruzado y la tarjeta eth1 es la que permite esta conexión.

En vista de esto, la regla "iptables -A FORWARD -i eth1 -j ACCEPT" sí permite todo. Además es lo que quiero, así los usuarios del Windows tienen acceso a internet irrestrícto.

Esta regla la podés ajustar a tus necesidades; se puede agregar puertos, usar el sistema de "connection tracking" y dejar que salgan solo los paquetes RELATED, ESTABLISHED, etc... depende de lo que vayas a necesitar.

Si hay dudas, mandá preguntas para la lista... así aprendemos todos.

Saludos!!!
Mi objetivo es: con un gw debian, conectado a internet media pppoeconf, tener un minimo firewall y ademas que los 4 (cuatro) eMule's que hay en la lan (ips distintas y puertos distintos, en este caso site al 2000 y 2010) tengan id alta con la politica predeterminada de la tabla filter en DROP. Logre que se puedan conectar a la red ED2K pero a la redkadmelia me esta volvienvo loco, y hace ya unos meses.. en pocas palabras Miguel, la idea es: ID Alta, Policy's DROP y evitar reglas del tipo:

iptables -t filter -A FORWARD -j ACCEPT
iptables -t filter -A FORWARD -i xxx -j ACCEPT
etc..
por que estas reglas son (para los clientes M$) mas peligrosas que ests:

iptables -t filter -A FORWARD -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

ya que por lo menos ahi con estas evito los puertos de bajo nivel..., la otra es un "dale que va!" estas tambien..por eso digo que me esta volviendo loco el emule. (te diria que ya me esta molestando demasiado a tal punto de no usarlo mas.) Por otro lado, la duda mas importante es el correcto uso y fin de los paquetes NEW , RELATED , ESTABLISHED , INVALID , etc....y si estas sirven para proteger un poco el caño de puertos abiertos o no tiene nada que ver. Obviamente que hay millones de cosas en iptables que dezconosco, (hasta cosas que directamente nunca vi) como flags y por ejemplo --jump "TCPMSS" que accion es esta? no tiene pinta de variable. bueno en en fin..espero que algun dia estos correos los pueda leer gente que tenga el mismo problema y estando estos con la solucion correspondiente, obviamente, si no de que vale.
Gracias Miguel.


Reply to: