andres ha escrito:

> Hola:
>
> Bueno no est�n d�ficil lo que intentas hacer, lo que pasa es que est�s 
> mezclando
> algunas cosas...
>
> Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no
> tengas miedo, la primera vez asusta est� claro, pero seguro te podemos ayudar 
> as�
> como otros compa�eros nos han ayudado a nosotros a lograr armar un kernel a
> medida por primera vez.
>
> Te cuento, yo tambi�n tengo ipchains en mi maquina, est� da salida al Mundo
> (Internet) a otros dos PC con g�indos =)
>
> Est� maquina que tiene configurada determinadas reglas de ipchains y que 
> permite
> a las otras salir hacia Internet, es a la vez un servidor web.
>
> Yo en principio cuando instale debian en ella, deje el kernel que trae por
> defecto la instalaci�n (2.2.19) que no est� mal en principio.
>
> Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da 
> esto
> /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como 
> por
> ejemplo:
>
> orvux# less /etc/network/options
>
> ip_forward=yes
> spoofprotect=yes
> syncookies=yes
>
> ------------------------------------------
>
> Y poner como valor en yes a ip_forward, necesario para poder utilizar
> enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para
> proteger el kernel ante ataques.
>
> Si esto lo ten�s as�, perfecto lo �nico que te queda es definir las reglas de
> filtrado:
>
> Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso s� tene en
> cuenta que si en alguna reglas para quienes est�n enla Intranet es decir en la
> LAN interna vos pones un final como REJECT es seguro que ni descarga el 
> correo y
> ni siquiera sale al Mundo... es decir le ser� imposible navegar por Internet,
> porque le est�s denegando un servicio.
>
> Las reglas est�n comentadas, est� f�cil... una vez que estes pr�ctico seguro 
> te
> haces las tuyas a medida
>
> -------------------------------------------------------------------------------------------------------------------------------------
>
> Te aclaro que la IP (180.26.4.11 es de ejemplo y esta ser�a la que est� 
> conectada
> a router que
> te da conexi�n a Internet... router o lo que fuera! y la 192.168.0.100 es la
> segunda IP de la otra tarjeta
> de red, que es la que est� conectada a la Intranet o LAN interna ok!)
>
> F�jate y experimenta un poco con las reglas...
>
> # Comenzamos haciendo un flush. Esto limpia todas las reglas que
> # pudi�ramos haber introducido previamente
>
> /sbin/ipchains -F
>
> # Despu�s aplicamos por defecto tres reglas que dicen que:
> # Se cierran las conexiones de entrada por defecto
>
> /sbin/ipchains -P input DENY
>
> # Se cierran las conexiones de forward por defecto
>
> /sbin/ipchains -P forward DENY
>
> # Se abren las conexiones de salida por defecto
>
> /sbin/ipchains �P output ACCEPT
>
> # Despu�s de las reglas de pol�tica por defecto,
> # aplicamos reglas que hagan referencia a conexiones a
> # dispositivos o puertos concretos
> # Aceptamos las conexiones de entrada desde procesos locales
> # (por el interfaz .lo.)
>
> /sbin/ipchains -A input -i lo -j ACCEPT
>
> # Aceptamos las conexiones de entrada provenientes de IPs
> # de la red local (o sea, que entren por cualquier
> # interfaz excepto eth0)
>
> /sbin/ipchains -A input -s 180.26.4.11 �i! 192.168.0.100 -j ACCEPT
>
> # Rechazamos los fragmentos de paquetes ICMP
>
> /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY
>
> # Pero aceptamos los paquetes ICMP normales, para que
> # nuestro equipo responda a pings, por ejemplo.
>
> /sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT
>
> # Rechazamos en todo caso las conexiones TCP y tambi�n las UDP
> # a algunos puertos t�picos de troyanos como BackOrifice o SubSeven.
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 �j
> DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j
> DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 �i 192.168.0.100 �j DENY
>
> /sbin/ipchains -A input �p tcp �d 180.26.4.11 31337 -i 192.168.0.100 �j DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j 
> DENY
>
> /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
>
> # Rechazamos tambi�n las conexiones al puerto de MYSQL
>
> /sbin/ipchains -A input -p udp �d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada
> # al puerto 1024 y a cualquiera por encima de �l (por eso los �:� que 
> equivalen
> # aqu� a 1024:65535)
>
> /sbin/ipchains -A input �p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input �p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> # Enmascaramos las conexiones de forward desde direcciones IP de la red local
> # hacia el exterior (o sea, salientes por el interfaz eth0)
>
> /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ
>
> -------------------------------------------------------------------------------------------------------------------
>
> Otra cosa si quer�s dar entrada a la gente de la LAN interna para descargar el
> correo,
> supongo que tendr�s que habilitar un conexi�n al puerto por ejemplo 110 del 
> pop,
> no s�
> anda probando vale, es lo mejor...
>
> mucha suerte
>
> andr�s


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a