El Thursday 27 December 2007 10:49:42 Juan Pablo San Martín escribió: > Adjunto script: > > > #!/bin/sh > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -s 192.168.168.0/24 -i eth0 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT ¿Tienes servidor de correo en la maquina que hace NAT?
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1723 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j ACCEPT ¿A la maquina que hace NAT te conectas por escritorio remoto? > iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 443 -j > ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 53 -j > ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p udp --dport 53 -j podrias dejar el equipo que natea tambien cono servidor de dns y eliminar la salida de los equipos por el puerto 53 > ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 25 -j > ACCEPT iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -p tcp --dport 110 > -j ACCEPT > > iptables -A FORWARD -s 192.168.168.5 -i eth0 -j ACCEPT > iptables -A FORWARD -s 192.168.168.193 -i eth0 -j ACCEPT > > iptables -A FORWARD -s 192.168.168.0/24 -i eth0 -j DROP creo que ese drop no te funcionara si ya dijiste anteriormente que se dabas ACCEPT por defecto (iptables -P FORWARD ACCEPT) > iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth1 -j MASQUERADE > > echo 1 > /proc/sys/net/ipv4/ip_forward > > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 1:1024 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 1:1024 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p tcp --dport 30000:50000 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -i eth1 -p udp --dport 30000:50000 -j DROP mejor cerrar el INPUT que tienes por defecto y abrir sólo lo necesario. Espero te ayuden de algo las recomendaciones. y la primera regla es la que se toma en cuenta, recuerda eso, si en algn momento dices a iptables que habra para cierto equipo el puerto 8080, lu luego mas abajo especificas cerrar el rango de puertos del 1 al 8081, el 8080 seguira habierto porque cuando se buscaba en tus reglas si podia pasar trafico por el puerto 8080 se encontro primero con la regla de que si podia y deja de revisarlas. espero se entienda la idea, por eso para que sea todo un poco más simple y tener menos error, cerrar todo por defecto primero y luego abrir cosas especificas.
