Jajaja, bueno iptables lo aprendí como se dice a lo bruto, en una de las empresas que trabaje el primer dia me mandaron a poner políticas en DROP a un servidor de producción, ahí fui donde me acorde de un comando super archi importante para entender poco a poco, iptables-save -c > reglas-iptables-fecha.txt, con esto volcaba todas las reglas y las estudiaba y así poco a poco empecé a entenderlo y a dominarlo pero claro de todas maneras por ahí hay cosas que fallan entonces un iptables-restore < reglas-iptables-fecha.txt y listo, primero lei el archivo volcado de las reglas comparaba las cadenas buscando una parecida a la que necesitaba la copiaba y modificaba los parámetros necesarios y luego cargaba ese archivo volcado y me ayudo bastante, ahora por ejemplo todos los servers que tengo los tengo con políticas en DROP pero antes de eso creo la cadena PERMISOS-SSH y le mando el puerto 22 y ahí empiezo a abrir lo que necesito lo demás lo descarto, y si por ahí tengo que abrir un puerto que no sabía le pongo un log al iptables y listo.
Espero que te haya ayudado en tus preguntas e inconvenientes, realmente prefiero usar iptables a mano en vez de algún front-end o similares, además un Firewall/Proxy Router/Firewall u Bridge/Firewall en mi humilde opinión no deberían de tener entorno gráfico, solo cargado lo necesario. Saludos Darkmull -----Mensaje original----- De: Jorge A. Secreto [mailto:[email protected]] Enviado el: jueves, 04 de noviembre de 2010 12:19 p.m. Para: [email protected] Asunto: Re: [OT] eliminar regla DROP en iptables [SOLUCIONADO] El día 4 de noviembre de 2010 12:40, Carlos Valderrama <[email protected]> escribió: > No es un nombre de modulo sino una cadena, esas se crean > > iptables -N PERMISOS-VNC > > y se le da una referencia (INPUT, OUTPUT, FORWARD) > > iptables -A INPUT -p tcp -m tcp --dport 5900 -j PERMISOS-VNC > > y luego aplicas ya reglas sobre esa cadena > > iptables -A PERMISOS-VNC -s source -d destino -p tcp -m tcp --sport 1024: > --dport 5900 -m state --state NEW -m mac --mac-source mac -m comment > --comment "VNC HACIA" -j ACCEPT > > en realidad no es tan dificil aprender iptables pero si un poco > complicado > Seeeehhhh! cada vez que quise aprender iptables terminé lleno de abollones :-P ¿aprendiste solo o encontraste algún manual que explique bien, como para aprender? Me fustra no estar nunca seguro de como cuernos hay que definir las reglas -- Jorge A Secreto Analista de Sistemas MP 361 -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected] .com __________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 5591 (20101104) __________ ESET NOD32 Antivirus ha comprobado este mensaje. http://www.eset.com -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
