andres ha escrito:
> Hola: > > Bueno no est�n d�ficil lo que intentas hacer, lo que pasa es que est�s > mezclando > algunas cosas... > > Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no > tengas miedo, la primera vez asusta est� claro, pero seguro te podemos ayudar > as� > como otros compa�eros nos han ayudado a nosotros a lograr armar un kernel a > medida por primera vez. > > Te cuento, yo tambi�n tengo ipchains en mi maquina, est� da salida al Mundo > (Internet) a otros dos PC con g�indos =) > > Est� maquina que tiene configurada determinadas reglas de ipchains y que > permite > a las otras salir hacia Internet, es a la vez un servidor web. > > Yo en principio cuando instale debian en ella, deje el kernel que trae por > defecto la instalaci�n (2.2.19) que no est� mal en principio. > > Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da > esto > /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como > por > ejemplo: > > orvux# less /etc/network/options > > ip_forward=yes > spoofprotect=yes > syncookies=yes > > ------------------------------------------ > > Y poner como valor en yes a ip_forward, necesario para poder utilizar > enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para > proteger el kernel ante ataques. > > Si esto lo ten�s as�, perfecto lo �nico que te queda es definir las reglas de > filtrado: > > Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso s� tene en > cuenta que si en alguna reglas para quienes est�n enla Intranet es decir en la > LAN interna vos pones un final como REJECT es seguro que ni descarga el > correo y > ni siquiera sale al Mundo... es decir le ser� imposible navegar por Internet, > porque le est�s denegando un servicio. > > Las reglas est�n comentadas, est� f�cil... una vez que estes pr�ctico seguro > te > haces las tuyas a medida > > ------------------------------------------------------------------------------------------------------------------------------------- > > Te aclaro que la IP (180.26.4.11 es de ejemplo y esta ser�a la que est� > conectada > a router que > te da conexi�n a Internet... router o lo que fuera! y la 192.168.0.100 es la > segunda IP de la otra tarjeta > de red, que es la que est� conectada a la Intranet o LAN interna ok!) > > F�jate y experimenta un poco con las reglas... > > # Comenzamos haciendo un flush. Esto limpia todas las reglas que > # pudi�ramos haber introducido previamente > > /sbin/ipchains -F > > # Despu�s aplicamos por defecto tres reglas que dicen que: > # Se cierran las conexiones de entrada por defecto > > /sbin/ipchains -P input DENY > > # Se cierran las conexiones de forward por defecto > > /sbin/ipchains -P forward DENY > > # Se abren las conexiones de salida por defecto > > /sbin/ipchains �P output ACCEPT > > # Despu�s de las reglas de pol�tica por defecto, > # aplicamos reglas que hagan referencia a conexiones a > # dispositivos o puertos concretos > # Aceptamos las conexiones de entrada desde procesos locales > # (por el interfaz .lo.) > > /sbin/ipchains -A input -i lo -j ACCEPT > > # Aceptamos las conexiones de entrada provenientes de IPs > # de la red local (o sea, que entren por cualquier > # interfaz excepto eth0) > > /sbin/ipchains -A input -s 180.26.4.11 �i! 192.168.0.100 -j ACCEPT > > # Rechazamos los fragmentos de paquetes ICMP > > /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY > > # Pero aceptamos los paquetes ICMP normales, para que > # nuestro equipo responda a pings, por ejemplo. > > /sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT > > # Rechazamos en todo caso las conexiones TCP y tambi�n las UDP > # a algunos puertos t�picos de troyanos como BackOrifice o SubSeven. > > /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 �j > DENY > > /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j > DENY > > /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 �i 192.168.0.100 �j DENY > > /sbin/ipchains -A input �p tcp �d 180.26.4.11 31337 -i 192.168.0.100 �j DENY > > /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j > DENY > > /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY > > # Rechazamos tambi�n las conexiones al puerto de MYSQL > > /sbin/ipchains -A input -p udp �d 180.26.4.11 3306 -i 192.168.0.100 -j DENY > > /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY > > # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada > # al puerto 1024 y a cualquiera por encima de �l (por eso los �:� que > equivalen > # aqu� a 1024:65535) > > /sbin/ipchains -A input �p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY > > /sbin/ipchains -A input �p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY > > # Enmascaramos las conexiones de forward desde direcciones IP de la red local > # hacia el exterior (o sea, salientes por el interfaz eth0) > > /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ > > ------------------------------------------------------------------------------------------------------------------- > > Otra cosa si quer�s dar entrada a la gente de la LAN interna para descargar el > correo, > supongo que tendr�s que habilitar un conexi�n al puerto por ejemplo 110 del > pop, > no s� > anda probando vale, es lo mejor... > > mucha suerte > > andr�s -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

