Hola:
Bueno no est�n d�ficil lo que intentas hacer, lo que pasa es que est�s mezclando algunas cosas... Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no tengas miedo, la primera vez asusta est� claro, pero seguro te podemos ayudar as� como otros compa�eros nos han ayudado a nosotros a lograr armar un kernel a medida por primera vez. Te cuento, yo tambi�n tengo ipchains en mi maquina, est� da salida al Mundo (Internet) a otros dos PC con g�indos =) Est� maquina que tiene configurada determinadas reglas de ipchains y que permite a las otras salir hacia Internet, es a la vez un servidor web. Yo en principio cuando instale debian en ella, deje el kernel que trae por defecto la instalaci�n (2.2.19) que no est� mal en principio. Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da esto /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como por ejemplo: orvux# less /etc/network/options ip_forward=yes spoofprotect=yes syncookies=yes ------------------------------------------ Y poner como valor en yes a ip_forward, necesario para poder utilizar enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para proteger el kernel ante ataques. Si esto lo ten�s as�, perfecto lo �nico que te queda es definir las reglas de filtrado: Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso s� tene en cuenta que si en alguna reglas para quienes est�n enla Intranet es decir en la LAN interna vos pones un final como REJECT es seguro que ni descarga el correo y ni siquiera sale al Mundo... es decir le ser� imposible navegar por Internet, porque le est�s denegando un servicio. Las reglas est�n comentadas, est� f�cil... una vez que estes pr�ctico seguro te haces las tuyas a medida ------------------------------------------------------------------------------------------------------------------------------------- Te aclaro que la IP (180.26.4.11 es de ejemplo y esta ser�a la que est� conectada a router que te da conexi�n a Internet... router o lo que fuera! y la 129168.0.100 es la segunda IP de la otra tarjeta de red, que es la que est� conectada a la Intranet o LAN interna ok!) F�jate y experimenta un poco con las reglas... # Comenzamos haciendo un flush. Esto limpia todas las reglas que # pudi�ramos haber introducido previamente /sbin/ipchains -F # Despu�s aplicamos por defecto tres reglas que dicen que: # Se cierran las conexiones de entrada por defecto /sbin/ipchains -P input DENY # Se cierran las conexiones de forward por defecto /sbin/ipchains -P forward DENY # Se abren las conexiones de salida por defecto /sbin/ipchains �P output ACCEPT # Despu�s de las reglas de pol�tica por defecto, # aplicamos reglas que hagan referencia a conexiones a # dispositivos o puertos concretos # Aceptamos las conexiones de entrada desde procesos locales # (por el interfaz .lo.) /sbin/ipchains -A input -i lo -j ACCEPT # Aceptamos las conexiones de entrada provenientes de IPs # de la red local (o sea, que entren por cualquier # interfaz excepto eth0) /sbin/ipchains -A input -s 192.168.1.0/24 �i! 192.168.0.100 -j ACCEPT # Rechazamos los fragmentos de paquetes ICMP /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY # Pero aceptamos los paquetes ICMP normales, para que # nuestro equipo responda a pings, por ejemplo. /sbin/ipchains -A input-p icmp -d 192.168.1.200 -i 192.168.0.100 -j ACCEPT # Rechazamos en todo caso las conexiones TCP y tambi�n las UDP # a algunos puertos t�picos de troyanos como BackOrifice o SubSeven. /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 �j DENY /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j DENY /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 �i 192.168.0.100 �j DENY /sbin/ipchains -A input �p tcp �d 180.26.4.11 31337 -i 192.168.0.100 �j DENY /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY # Rechazamos tambi�n las conexiones al puerto de MYSQL /sbin/ipchains -A input -p udp �d 180.26.4.11 3306 -i 192.168.0.100 -j DENY /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada # al puerto 1024 y a cualquiera por encima de �l (por eso los �:� que equivalen # aqu� a 1024:65535) /sbin/ipchains -A input �p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY /sbin/ipchains -A input �p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY # Enmascaramos las conexiones de forward desde direcciones IP de la red local # hacia el exterior (o sea, salientes por el interfaz eth0) /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ ------------------------------------------------------------------------------------------------------------------- Otra cosa si quer�s dar entrada a la gente de la LAN interna para descargar el correo, supongo que tendr�s que habilitar un conexi�n al puerto por ejemplo 110 del pop, no s� anda probando vale, es lo mejor... mucha suerte andr�s -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

