Hola:

Bueno no est�n d�ficil lo que intentas hacer, lo que pasa es que est�s mezclando
algunas cosas...

Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no
tengas miedo, la primera vez asusta est� claro, pero seguro te podemos ayudar 
as�
como otros compa�eros nos han ayudado a nosotros a lograr armar un kernel a
medida por primera vez.

Te cuento, yo tambi�n tengo ipchains en mi maquina, est� da salida al Mundo
(Internet) a otros dos PC con g�indos =)

Est� maquina que tiene configurada determinadas reglas de ipchains y que permite
a las otras salir hacia Internet, es a la vez un servidor web.

Yo en principio cuando instale debian en ella, deje el kernel que trae por
defecto la instalaci�n (2.2.19) que no est� mal en principio.

Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da esto
/sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como 
por
ejemplo:

orvux# less /etc/network/options

ip_forward=yes
spoofprotect=yes
syncookies=yes

------------------------------------------

Y poner como valor en yes a ip_forward, necesario para poder utilizar
enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para
proteger el kernel ante ataques.

Si esto lo ten�s as�, perfecto lo �nico que te queda es definir las reglas de
filtrado:

Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso s� tene en
cuenta que si en alguna reglas para quienes est�n enla Intranet es decir en la
LAN interna vos pones un final como REJECT es seguro que ni descarga el correo y
ni siquiera sale al Mundo... es decir le ser� imposible navegar por Internet,
porque le est�s denegando un servicio.

Las reglas est�n comentadas, est� f�cil... una vez que estes pr�ctico seguro te
haces las tuyas a medida

-------------------------------------------------------------------------------------------------------------------------------------

Te aclaro que la IP (180.26.4.11 es de ejemplo y esta ser�a la que est� 
conectada
a router que
te da conexi�n a Internet... router o lo que fuera! y la 129168.0.100 es la
segunda IP de la otra tarjeta
de red, que es la que est� conectada a la Intranet o LAN interna ok!)

F�jate y experimenta un poco con las reglas...


# Comenzamos haciendo un flush. Esto limpia todas las reglas que
# pudi�ramos haber introducido previamente

/sbin/ipchains -F

# Despu�s aplicamos por defecto tres reglas que dicen que:
# Se cierran las conexiones de entrada por defecto

/sbin/ipchains -P input DENY

# Se cierran las conexiones de forward por defecto

/sbin/ipchains -P forward DENY

# Se abren las conexiones de salida por defecto

/sbin/ipchains �P output ACCEPT

# Despu�s de las reglas de pol�tica por defecto,
# aplicamos reglas que hagan referencia a conexiones a
# dispositivos o puertos concretos
# Aceptamos las conexiones de entrada desde procesos locales
# (por el interfaz .lo.)

/sbin/ipchains -A input -i lo -j ACCEPT

# Aceptamos las conexiones de entrada provenientes de IPs
# de la red local (o sea, que entren por cualquier
# interfaz excepto eth0)

/sbin/ipchains -A input -s 192.168.1.0/24 �i! 192.168.0.100 -j ACCEPT

# Rechazamos los fragmentos de paquetes ICMP

/sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY

# Pero aceptamos los paquetes ICMP normales, para que
# nuestro equipo responda a pings, por ejemplo.

/sbin/ipchains -A input-p icmp -d 192.168.1.200 -i 192.168.0.100 -j ACCEPT

# Rechazamos en todo caso las conexiones TCP y tambi�n las UDP
# a algunos puertos t�picos de troyanos como BackOrifice o SubSeven.

/sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 �j
DENY

/sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j
DENY

/sbin/ipchains -A input -p udp -d 180.26.4.11 31337 �i 192.168.0.100 �j DENY

/sbin/ipchains -A input �p tcp �d 180.26.4.11 31337 -i 192.168.0.100 �j DENY

/sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY

/sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY

# Rechazamos tambi�n las conexiones al puerto de MYSQL

/sbin/ipchains -A input -p udp �d 180.26.4.11 3306 -i 192.168.0.100 -j DENY

/sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY

# Rechazamos todas las conexiones que no sean las anteriores claro, de entrada
# al puerto 1024 y a cualquiera por encima de �l (por eso los �:� que equivalen
# aqu� a 1024:65535)

/sbin/ipchains -A input �p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY

/sbin/ipchains -A input �p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY


# Enmascaramos las conexiones de forward desde direcciones IP de la red local
# hacia el exterior (o sea, salientes por el interfaz eth0)

/sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ

-------------------------------------------------------------------------------------------------------------------

Otra cosa si quer�s dar entrada a la gente de la LAN interna para descargar el
correo,
supongo que tendr�s que habilitar un conexi�n al puerto por ejemplo 110 del pop,
no s�
anda probando vale, es lo mejor...

mucha suerte

andr�s


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a