Re: IPTABLES ayuda.

[Julián Esteban Perconti]

Miguel Da Silva - Centro de Matemática escribió:
Julián Esteban Perconti escreveu:
Miguel Da Silva - Centro de Matemática escribió:
Hacés forward de todos los puertos altos, no es muy aconsejable.
Si tenés esto en un gateway para un red Windows, "sos boleta". Es 
justo lo que un "Trojan Horse" necesita. Además, fijate que dejás 
entrar paquetes nuevos hacia tu red.

En casa tengo es casi lo mismo que vos, y siguen abajo lo que tengo 
(y que funciona con derecho a portforwarding ;)):

# Forward.
echo "1" > /proc/sys/net/ipv4/ip_forward

# La regla abajo va para solucionar las cag*** que Microsoft suele 
hacer.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 5662 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5665 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5672 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j 
ACCEPT

# NAT para la PC Windows.
iptables -t nat -A POSTROUTING -s mariana01 -j MASQUERADE

# Emule para mariana01
iptables -A PREROUTING -t nat -p tcp --dport 5662 -i ppp0 -j DNAT 
--to 10.0.0.2:5662
iptables -A PREROUTING -t nat -p udp --dport 5665 -i ppp0 -j DNAT 
--to 10.0.0.2:5665
iptables -A PREROUTING -t nat -p udp --dport 5672 -i ppp0 -j DNAT 
--to 10.0.0.2:5672

En la eth1 va el Windows de casa y en la eth0 iria el modem ADSL. 
Detalle para la regla que arregla la vieja mania de Microsoft de 
querer re-inventar la rueda (y de hacerlo mal). Más detalles, los 
puertos del p2p en la PC Windows son los que dicen en las reglas 
arriba (bueno, no quiero ser molesto, pero estas reglas están en 
página de emule).

Saludos.

Ok, miguel acabo de probrar de la siguiente manera:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS 
--clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 --dport 2000 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.2 --dport 2010 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j 
ACCEPT

iptables -A PREROUTING -t nat -p tcp --dport 2000 -i ppp0 -j DNAT 
--to 192.168.0.2:2000
iptables -A PREROUTING -t nat -p udp --dport 2010 -i ppp0 -j DNAT 
--to 192.168.0.2:2010

ID ALTA! Pero "iptables -A FORWARD -i eth1 -j ACCEPT" esto no es lo 
mismo que aceptar todo?
osea.. en las lineas de arriba yo lo hice bien a lo bruto, fue un 
ejemplo y se que es una locura.. pero no ultimo que quiero hacer es 
forwardear todo... como lo estoy haciendo con esta linea "iptables -A 
FORWARD -i eth1 -j ACCEPT" de heco solo forwardeo los menores a 1024 
...., de ahi para arriba cierro..., por eso el problema mio esta en 
como hacer andar el emule sin forwadear todos los paquetes, ya sea de 
ppp0 o eth1. si le saco la iface a esa linea es los mismo que nada.. 
es decir.. para que pongo la policy en drop si mas abajo abro un caño 
enorme.......

Muchas Gracias....



Bueno.. la respuesta es: depende!!!

Estas reglas las tengos en el PC de casa y allí hay 2 PC: 1 Linux y 1 
Windows. Ellos se conectan entre sí a través de un cable cruzado y la 
tarjeta eth1 es la que permite esta conexión.

En vista de esto, la regla "iptables -A FORWARD -i eth1 -j ACCEPT" sí 
permite todo. Además es lo que quiero, así los usuarios del Windows 
tienen acceso a internet irrestrícto.

Esta regla la podés ajustar a tus necesidades; se puede agregar 
puertos, usar el sistema de "connection tracking" y dejar que salgan 
solo los paquetes RELATED, ESTABLISHED, etc... depende de lo que vayas 
a necesitar.

Si hay dudas, mandá preguntas para la lista... así aprendemos todos.

Saludos!!!
Mi objetivo es: con un gw debian, conectado a internet media pppoeconf, 
tener un minimo firewall y ademas que los 4 (cuatro) eMule's que hay en 
la lan (ips distintas y puertos distintos, en este caso site al 2000 y 
2010) tengan id alta con la politica predeterminada de la tabla filter 
en DROP. Logre que se puedan conectar a la red ED2K pero a la 
redkadmelia me esta volvienvo loco, y hace ya unos meses..
en pocas palabras Miguel, la idea es: ID Alta, Policy's DROP y evitar 
reglas del tipo:

iptables -t filter -A FORWARD -j ACCEPT
iptables -t filter -A FORWARD -i xxx -j ACCEPT
etc..
por que estas reglas son (para los clientes M$) mas peligrosas que ests:

iptables -t filter -A FORWARD -i ppp0 -p tcp --sport 1024:65535 --dport 
1024:65535 -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -p udp --sport 1024:65535 --dport 
1024:65535 -j ACCEPT

ya que por lo menos ahi con estas evito los puertos de bajo nivel..., la 
otra es un "dale que va!" estas tambien..por eso digo que me esta 
volviendo loco el emule. (te diria que ya me esta molestando demasiado a 
tal punto de no usarlo mas.)
Por otro lado, la duda mas importante es el correcto uso y fin de los 
paquetes NEW , RELATED , ESTABLISHED , INVALID , etc....y si estas 
sirven para proteger un poco el caño de puertos abiertos o no tiene nada 
que ver.
Obviamente que hay millones de cosas en iptables que dezconosco, (hasta 
cosas que directamente nunca vi) como flags y por ejemplo --jump 
"TCPMSS" que accion es esta? no tiene pinta de variable.
bueno en en fin..espero que algun dia estos correos los pueda leer gente 
que tenga el mismo problema y estando estos con la solucion 
correspondiente, obviamente, si no de que vale.
Gracias Miguel.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]