>-----Mensaje Original-----
>Desde: Javier Payno [mailto:[EMAIL PROTECTED]
>Enviado: Lunes 22 de Marzo de 2004 08:11 PM
>Para: [email protected]
>Tema: Re: Iptables no Dropea
>
>El Lunes, 22 de Marzo de 2004 20:35, Luciano Giacchetta escribi�:
>> Gente,
>> La unica diferencia que tengo con respecto a las ifaces son que una tiene
>> una mascara 255.255.255.0 y la publica es 255.255.255.240, tendra algo que
>> ver esto???? Despues, por ejemplo tengo desabilitado por iptables el icmp
>> en la iface publica, sin embargo desde inet puedo pingear mi ip... �?
>> realmente no entiendo nada...
>
>Podr�as pastear alguna de las reglas que no te funcionan?
>con un iptables -L -nv, copia una de las lineas que cruje y sobre esa
>trabajamos.
Ac� te mando mi scrip de iptables... en realidad no es una regla o dos las que
no funcionan, sino todas las que aplique a la iface eth1
#IP FORWARDING HABILITADO
echo 1 > /proc/sys/net/ipv4/ip_forward
#Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
#Politicas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Enmascaramiento y fowardeo
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i eth1 -o eth0 -d 192.168.101.0/24
iptables -A FORWARD -j ACCEPT -i eth0 -o eth1 -s 192.168.101.0/24
#Puertos abiertos
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -p icmp -i eth0
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 22
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 25
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 25
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 80
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --dport 443
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 2103
iptables -A INPUT -j ACCEPT -p tcp -i eth0 --dport 10000
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp -i eth1 --syn -m limit --limit 1/s
iptables -A INPUT -j ACCEPT -p icmp --icmp-type echo-request -m limit --limit
1/s
#Puertos fowardeados
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT
--to-destination 192.168.101.27:110
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 26 -j DNAT
--to-destination 192.168.101.27:6000
como veras tengo deshabilitado el icmp para la iface eth1 pero sin embargo
desde afuera puedo pingear mi ip publica y eso es lo que no entiendo �?
Tambien desde afuera tengo acceso a SSH, y como ves no tengo habilitado el port
22 en la eth1 �?
Despues, tengo todo DROPEADO pero desde afuera puedo ver el port 13 open
daytime �?.. osea sintetizando, sobre la placa eth1 no se aplican ninguna de
las politicas pero si sobre la placa eth0, sobre esta todo funciona 11 puntos..
( eth0 es interna )
eth0 Link encap:Ethernet HWaddr 00:50:04:A9:26:65
inet addr:192.168.101.9 Bcast:192.168.101.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1628962 errors:0 dropped:0 overruns:0 frame:0
TX packets:1286138 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:264146947 (251.9 MiB) TX bytes:833733917 (795.1 MiB)
Interrupt:11 Base address:0xc400
eth1 Link encap:Ethernet HWaddr 00:50:04:A9:4E:CD
inet addr: X.X.X.X Bcast: X.X.X.X Mask:255.255.255.240
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1165206 errors:0 dropped:0 overruns:0 frame:0
TX packets:1130329 errors:0 dropped:0 overruns:0 carrier:0
collisions:84 txqueuelen:100
RX bytes:796156554 (759.2 MiB) TX bytes:195806376 (186.7 MiB)
Interrupt:5 Base address:0xc800
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:9248 errors:0 dropped:0 overruns:0 frame:0
TX packets:9248 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:849790 (829.8 KiB) TX bytes:849790 (829.8 KiB)
Saludos y Gracias
Luciano
______________________________________________
WWW.COM.AR ~ Tu Identidad en Internet
Todavia no tenes tu e-mail [EMAIL PROTECTED] con POP3 e Internet Gratis
