Re: Levantando iptables para un usuario comú n

Wed Dec 6 16:03:13 2006 

Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> 2006/12/6, javier ormeño <[EMAIL PROTECTED]>:
> >
> > Hasta el momento he ejecutado el script en una sesión ya abierta sin
> > tener ningún problema con las aplicaciones típicas. Ahora estoy a
> > punto de tirarla para correr al inicio.
> 
> > me quedan unas dudas relacionadas
> > ¿no debería haber un iptable (o chain) que bote todos las solicitudes
> > no iniciadas por mi?

> Depende de la política de conexión, yo en mi script tengo esto:
> 
> echo -n "Acercandose al Final: "
> # Aceptamos paquetes de una conexión ya establecida
> $IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> 
> # Rechazamos los de conexiones nuevas
> $IPTABLES -A INPUT -i $EXT -m state --state NEW,INVALID -j DROP

Cuantas &[EMAIL PROTECTED] veces hay que decir que /nunca/, /jamas de los 
jamases/ se
usa DROP?! Usa REJECT! Ponlo como politica de la cadena, y te ahorras un
engendro similar a esto.


Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
erradas en la cabeza.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Wed Dec  6 16:21:24 2006
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Wed Dec  6 16:15:44 2006
Subject: =?utf-8?q?Re=3A_Re=3A_Levantando_iptables_para_un_usuario_com?=
        =?utf-8?b?w7pu?=
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
        <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

El 6/12/06, Horst H. von Brand<[EMAIL PROTECTED]> escribió:
>
> Cuantas &[EMAIL PROTECTED] veces hay que decir que /nunca/, /jamas de los 
> jamases/ se
> usa DROP?! Usa REJECT! Ponlo como politica de la cadena, y te ahorras un
> engendro similar a esto.

uuups... plancha :s

> Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
> mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
> erradas en la cabeza.

...que mas será para el que lo escribió. ='(

// si, algun par de años más tarde escribí uno propio que sí usaba
REJECT, pero no lo distribuí... por lo demás, eso murió con mi
tarro... //

Algo bueno, por lo menos aprendiste que tu script iba mal y que no
siempre las cosas que ves en cualquier foro son lo suficientemente
correctas como para ser ciertas. :s

-- 
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org

Responder a