Re: Denegar acceso al puerto 7071 a través de internet

[Gonzalo Rivero <fishfromsalta@gmail.com>]

El mié, 27-05-2015 a las 13:58 -0430, Nicolas escribió: 
> Muy buenas,
> 
> 
> Tengo un servidor de correo zimbra y no deseo que se acceda a la parte
> administrativa a través de internet, y para ello se usa el puerto
> 7071, pero si acceder desde la red local.
> 
> 
> Hice lo siguiente
> 
> 
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 7071 -j DROP
> 
> iptables -A INPUT -s 10.0.0.0/16 -p tcp --dport 7071 -j ACCEPT
> 
> 
> Resulta que si me cierra el puerto 7071 a través de internet pero
> también a la red local y no puedo entrar al administrador de zimbra.
> 
> 
> Como hago para cerrarlo únicamente desde internet. Se muy bien que el
> -s 0.0.0.0/0 significa "desde cualquier parte", lo que quiero saber es
> como se le dice "desde internet" nada mas
> 

estoy medio oxidado, así que puede que mande fruta.
Si probás las reglas al revés, primero permitiendo el paso a tu lan
(10.0.0/16) ejecuta esa regla e iptables no sigue evaluando; pero cuando
llega el siguiente paquete, como no viene de tu lan, vale la siguiente
regla y lo descarta.
También, si mal no recuerdo (es que pfsense crea malas mañas jejeje),
iptables tenía una opción para negar, entonces podrías hacer, todo lo
que no venga de tal(es) ip(s), descartar.
Mientras escribía este mail, me fui a mirar el man iptables y vi que si
se puede invertir el sentido del test; así que podrías hacer una regla: 
iptables -A INPUT lo-que-NO-venga-de 10.0.0.0/16 (...) -j DROP

tarea para la casa: ir a leer el manual de iptables para ver como
escribir esa regla ;) 

-- 
(-.(-.(-.(-.(-.(-.-).-).-).-).-).-)