Hola
> > El "truco" es ponerle, en la tabla NAT un -j ACCEPT de lo que queremos que > > no haga nada (si pones un ACCEPT en el forward llega al nat, entonces me > > hacia el masquerading, con el ACCEPT no hace nada, y la �ltima regla del > > nat el snat y listo...) > > Aqu� est� justamente la dificultad: La l�gica con que un paquete > traviesa las tables y cadenas, no es tan intuitiva como puede parecer s�, con el ipchains estaba m�s claro (IMHO) > leyendo el HOWTO. No me he pensado detalladamente lo quer�as hacer, cierto En los dias que no me funcion� estuve pensando mucho con el Sr. Rusty :-) > > Sobre el tema de poner todo en REJECT y poner ACCEPT lo que se quiera, > > tengo el forward en REJECT, hago el FORWARD de lo que quiero, pero el > > INPUT est� en ACCEPT... con un par de reglas anti-spoofing y algo m�s... > > que creo que "mi superior" quit� porqu� decia que podrian traer > > problemas... en fin, �l sabr�, si fuese por mi estar�a claro... > > Al final creo que es un poco cuesti�n de gustos si empiezas denegando > y permites lo que quieras, o si empiezas permitiendo y deniegas lo que > necesites. El camino para llegar ah� es diferente. Tambi�n hay una pienso que es bastante m�s seguro el "deniego todo y acepto explicitamente". M�s que nada porqu�, con el otro sistema (que yo us�) _seguro_ que hay casos que se me escapan de la mente (como jugadas de ajedrez :-) ) en cambio t� sabes exactamente qu� dejas pasar y como Eso s�, el FORWARD siempre en DROP :-) > diferencia entre DROP y REJECT. DROP simplemente descarta el paquete y > no pierde mas tiempo con �l. El REJECT devuelve un paquete de error, > as� que el programa del usuario puede dar un mensaje mas s�, pero el default policy tiene que ser si recuerdo uno de los dos (no recuerdo si ten�a que ser REJECT o DROP, pero uno no me lo aceptaba) > a una regla de REJECT estar�s automaticamente en la situaci�n de un > DoS (Denial of Service), porque sobrecarga la red y los paquetes con las iptables v� un gr�fico que si lo controlas est� previsto, cuando supera un humbral "cambia" de uno a otro o algo as� (no lo mir� bien, lo siento) > Ah, si tu superior es mas listo, le puedes mirar un poco los dedos: > Primero usa el -L para ver las reglas duplicadas o redundantes, y > despu�s usa las diferentes opciones de nmap desde la red interna y la > externa para ver lo que est� abierto. Y finalmente puedes tentar :-) mi "superior" y yo nos conocemos XD > lan�ar algunos ataques DoS (uno est�pido es ping -f) para ver si > consiguen bloquear la m�quina. Y por �ltimo: Si comienzas con DROP y > haces reglas muy espec�ficas, creo que no tendr�s que preocuparte del > spoofing o egress. si son reglas espcificias de verdad s�, si es un -s 0.0.0.0/0.0.0.0 XD no Ta pronto! Carles
