> El mié, 27-07-2011 a las 17:32 +0100, Gorka Expósito escribió:
> 
> > # Rechazamos paquetes de forwarding de conexiones no establecidas
> >
> > #iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
> >
> >
> >
> > Si descomento la última línea funciona, si no lo hago no funciona.
> >
> > ¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo
> > conseguir lo que busco sin perder seguridad?
> 
> No controlo mucho iptables pero voy a intentar explicar donde creo yo que
> está el fallo. Parece claro que la última linea hace match con la conexión SSH
> entrante, de tal modo que habría que hacer una excepción para el puerto 22.
> 
> No sé si voy a escribir una burrada y tampoco he probado si la linea funciona,
> pero imagino algo así:
> 
> iptables -A FORWARD -m state --state NEW,INVALID -i eth0 ! -dport 22 -j
> DROP
> 

Gracias Francesc por contestar. Efectivamente, si añado la siguiente línea 
funciona:

iptables -A FORWARD -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT

Pero entonces, la regla INPUT que hace lo mismo, ¿no vale para nada?, ¿por qué 
las conexiones SSH desde el exterior entran por FORWARD en lugar de por INPUT?, 
¿es porque hay un DNAT para ellas?




--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]

Responder a