Perdona el top posting, pero lo pongo aqu� arriba. Doy por hecho que estamos hablando de un equipo con dos interfaces que hace de firewall situado a la entrada de la red.
Creo que deber�as leer un poquito mas sobre iptables, pues veo ciertas deficiencias. - Si vas a permitir que los dem�s equipos salgan a internet a trav�s de este, no veo por ning�n lado el activado del forwarding. Lo mismo que la regla de MASQUERADE. - Si tienes la regla de pol�tica DROP (que me parece lo mas adecuado), tienes que definir las reglas en ambos sentidos (INPUT, OUTPUT). Debes decirles que acepten las conexiones salidas "nuevas" y que acepte las conexiones entrantes establecidas. Te faltan reglas con "-m state --state NEW,ESTABLISHED,RELATED" Lo mejor que puedes hacer es establecer pol�ticas drop tanto para entrada y salida. De este modo la entrada la tienes asegurada y la salida, s�lo se realizar� a lo que tu le indiques. Si te da igual la salida, pues le pones ACCEPT en la pol�tica OUTPUT. Como se suele decir en los manuales, una buena gesti�n de un firewall es "todo lo que no est� explicitamente permitido, se deniega". Por ejemplo. S�lo quieres permitir la salida por el puerto 80. Pues pol�tica por defecto OUTPUT DROP y con una regla permites la salida por el 80. S�lo quieres cerrar el 80. Pues pol�tica por defecto OUTPUT ACCEPT y cierras el 80. Espero que te sirva. El Lunes, 4 de Abril de 2005 16:01, Javier Alberto Alvarez escribi�: > Gente cuando pongo las politicas en accept todo anda, cuando lo paso a > drop y habro los puertos que quiero, el correo ya no se conecta, uso > proxy en el 3128 y samba, la eth1 conecta a internet y la eth0 a > intranet. > que me falta habilitar para poder bajar el correo pop? > saludos y gracias a todos. > las reglas son: > > # Inicio vaciando las reglas > $iptables -F > $iptables -X > $iptables -Z > > ## Esta regla es para limpiar las reglas de nat. > $iptables -t nat -F > > # Definicion de politicas > $iptables -P INPUT DROP > $iptables -P OUTPUT ACCEPT > $iptables -P FORWARD DROP > $iptables -t nat -P PREROUTING ACCEPT > $iptables -t nat -P POSTROUTING ACCEPT > > # Aceptacio n de conexiones prestablecidas > $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > $iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > $iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > > # Acepta acceso al puerto 22 > $iptables -A INPUT -p tcp --dport 22 -j ACCEPT > > # Acepta acceso al puerto 25 > $iptables -A FORWARD -p tcp --dport 25 -j ACCEPT > > # Acepta acceso al puerto 53 > $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT > $iptables -A FORWARD -p udp --dport 53 -j ACCEPT > $iptables -A INPUT -p tcp --dport 53 -j ACCEPT > $iptables -A INPUT -p udp --dport 53 -j ACCEPT > > # Acepta acceso al puerto 80 > $iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > # Acepta acceso al puerto 110 > $iptables -A FORWARD -p tcp --dport 110 -j ACCEPT > $iptables -A FORWARD -p udp --dport 110 -j ACCEPT > $iptables -A INPUT -p tcp --dport 110 -j ACCEPT > $iptables -A INPUT -p udp --dport 110 -j ACCEPT > > # IMAP > $iptables -A FORWARD -p tcp --dport 143 -j ACCEPT > $iptables -A FORWARD -p udp --dport 143 -j ACCEPT > $iptables -A FORWARD -p tcp --dport 1430 -j ACCEPT > $iptables -A FORWARD -p udp --dport 1430 -j ACCEPT > > # Acepta acceso al MSN > $iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT > #$iptables -A FORWARD -p udp --dport 1900 -j ACCEPT > > # Acepta acceso al puerto 3128 > $iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP > $iptables -A INPUT -i eth1 -p udp --dport 3128 -j DROP > $iptables -A INPUT -p tcp --dport 3128 -j ACCEPT > $iptables -A INPUT -p udp --dport 3128 -j ACCEPT > #$iptables -A PREROUTING -p tcp --dport 3128 -j ACCEPT > > # puertos samba de entrada por puertos samba. > ## red 192.168.0.0/24 > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 137 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 137 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 138 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 138 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 139 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 139 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 445 -j > ACCEPT > $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 445 -j > ACCEPT > > > JaViEr A. Alvarez > ********************************************* > Linux User #127940 > User: jvralvarez Domain: jabber.org > > > > > > > ___________________________________________________________ > 250MB gratis, Antivirus y Antispam > Correo Yahoo!, el mejor correo web del mundo > http://correo.yahoo.com.ar -- Saludos. Pablo "No soy religioso, pero me apeno con la perdida de un gran hombre que crey� siempre en los jovenes". Fingerprint 5607 40CF 45EF D490 B794 �5056 D7B2 C3DC ABF1 CE49 Jabber: [EMAIL PROTECTED] http:www.aldiagestion.com
pgp6UxDR67RZo.pgp
Description: PGP signature
