Re: Iptables

Mon, 27 Apr 2009 12:38:52 -0700 

El lun, 27-04-2009 a las 15:16 -0400, Juan Andres Ramirez escribió:
> Hola listeros:
>      Veamos algo mal tengo en el orden de las reglas iptables porque
> al tratar de bloquear una ip publica no pasa nada:
> 
> ## ESTABLECEMOS POLITICA POR DEFECTO
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> 
> #DEJAMOS LIBRES LAS CONECCIONES LOCALES
> iptables -A INPUT -i lo -j ACCEPT
> 
> #TENEMOS ACCESO A LA RED DESDE LA INTERFACE bond0
> iptables -A INPUT -s 192.168.100.0/24 -i bond0 -j ACCEPT
> 
> #ACCESO A WEB
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT
> # ACCESOS A HTTPS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT
> 
> # Aceptamos que consulten los DNS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p udp --dport 53 -j ACCEPT
> 
> #CERRAMOS EL RESTO DE LOS PUERTOS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -j DROP
> 
> 
> Esto no esta funcionando...no bloquea la ip que le especifico,
> 
> #Bloqueo a direccion ip cualquiera
> iptables -A FORWARD -s 200.29.182.140 -j REJECT
> 
> Probe tambien con:
> iptables -A FORWARD -s 200.29.182.140 -p TCP --dport 80 -j REJECT
> 
> Ahora si cambio la linea : iptables -A FORWARD -s 192.168.100.0/24 -i
> bond0 -p tcp --dport 80 -j ACCEPT  por REJECT, efectivamente bloquea
> la navegacion por web.
> Cualquier tips lo agradeceria.

segun lo que entendi seria algo asi tu implementacion


RED INTERNA <----- ||FW || bond0 <-------- RED EXTERNA

lo que me parece es que el -s 192.168.100.0/24 , indica una red privada,
hay algun proxy delante del cortafuegos?? ( en 192.168.100.0)

ya que si dices que si la regla FORWARD con origen 192.168.100.0/24 la
cambias por REJECT te bloquea el trafico web(y de paso todo el trafico
que venga de esa red) y directamente dando la ip publica (200.x.x....)
no pasa nada.

Corrijeme si entendi mal tu caso... y que hay detras y delante del fw...


-- 
::Pedro::GM::
User #397462
http://counter.li.org

Responder a