Buenas, El Sun, Feb 29, 2004 at 01:22:51PM -0600, Jose A. Castillo escribi�:
> iptables -A INPUT -s 192.168.10.X -j ACCEPT > iptables -A INPUT -d 192.168.10.X -j ACCEPT > (corrijanme en esto si estoy errado) > al poner asi cada ip, solo quedaron accesando por esos puertos las dos > primeras ip's, la #3 y #4 no pueden accesar. Este es uno de los > problemas. Veamos, con la primera regla est�s diciendo: "Acepte *todos* los paquetes que vienen entrando a esta m�quina y que se origin� en el ip 192.168.10.X". Ojo que ah� es cualquier paquete, sin importar nada m�s que su direcci�n de origen (o sea, puede venir desde cualquier puerto, hacia cualquier puerto, y ser de cualquier tipo, que igual va a ser aceptado). La segunda regla dice: "Acepte todos los paquetes que vienen entrando y cuya direcci�n de destino sea 192.168.0.X". No estoy completamente seguro, pero creo que si la direcci�n que pon�s all� no es la direcci�n local, entonces la regla no sirve para nada, porque a INPUT no llegan paquetes que est�n destinados a otras m�quinas. Por otro lado, si la direcci�n que pon�s all� es la direcci�n local, esa regla est� quitando toda la seguridad que quer�s poner en la m�quina, pues de nuevo, est� permitiendo entrar a todos los paquetes que lleguen a INPUT con la direcci�n local (o sea, todos). > Para los puertos puse > iptables -A INPUT -p TCP --dport <puerto> -j ACCEPT > iptables -A INPUT -p TCP --sport <puerto> -j ACCEPT De nuevo, esto acepta todos los paquetes que cumplen con esos requisitos (el de los puertos). > y tampoco acepta conexiones en esos puertos Esto puede darse si ten�s una regla que bota todos los paquetes antes de llegar a las reglas anteriores. > yo no se si tendra que ver con como fue que puse la regla para bloquear > todos los puerto o si es el orden en que tengo que poner estas reglas, > no se si es que primero tengo que bloquear todo y despues poner las > reglas para que acepte las conexiones en cada caso especifico El orden es muy importante, pues los paquetes se van comparando con las reglas en el orden en que est�s son definidas (i.e. se comparan con la primera, si no calzan, se pasa a la segunda, etc.), por lo que si pon�s una regla que bloquea todo de primero, ning�n paquete va a pasar, de ninguna forma. > lo que use para bloquear toda conexion fue: > > iptables -A INPUT -p TCP -j REJECT --reject-with tcp-reset Hmm, �existe alguna raz�n por la cual usar esta regla en lugar de poner un POLICY de DROP a INPUT? > > Despues de poner eso bloquea todo, pero solo pueden accesar, como dije > antes las dos primeras ip's. Creo que tu problema es que est�s poniendo en reglas distintas, lo que deber�a ser una sola regla. Lo que vos quer�s hacer es dejar pasar solo los paquetes que vienen de una direcci�n _y_ que van para un puerto determinado, por lo que la regla se ver�a algo como as�: iptables -A INPUT -s 192.168.0.1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 192.168.0.1 -p utp --dport 22 -j ACCEPT Y as� para las dem�s direcciones que quer�s dejar pasar. Ahora bien, no estoy seguro de porqu� la m�quina se comporta de la manera que dijiste, seg�n las reglas que listaste ac�. �Podr�as enviar todas las reglas que est�s ejecutando, y el orden en que se ejecutan? Ser�a de mucha ayuda para poder entender mejor el problema. > Ahora, a ver que me pueden recomendar, porque ya no tengo idea de que > mas hacer aqui, por favor. :D Te recomiendo leer (si no lo has hecho ya), este[0] documento (versi�n en espa�ol ac�[1]), pues explica muy bien y claro como funcionan las funciones de filtrado de iptables. > Muchas Gracias Con gusto, espero haberte ayudado. [0] http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.html [1] http://www.netfilter.org/documentation/HOWTO/es/packet-filtering-HOWTO.html -- Jeffrey Esquivel "All your questions can be answered, if that is what you want. But once you learn your answers you can never unlearn them." --Neil Gaiman, "American Gods" -- Desuscripci�n: escriba a [EMAIL PROTECTED], tema 'unsubscribe' Problemas a: [EMAIL PROTECTED] http://www.linux.or.cr/listas
