2009/4/27 Pedro GM <[email protected]>: > El lun, 27-04-2009 a las 15:16 -0400, Juan Andres Ramirez escribió: >> Hola listeros: >> Veamos algo mal tengo en el orden de las reglas iptables porque >> al tratar de bloquear una ip publica no pasa nada: >> >> ## ESTABLECEMOS POLITICA POR DEFECTO >> iptables -P INPUT ACCEPT >> iptables -P OUTPUT ACCEPT >> iptables -P FORWARD ACCEPT >> >> #DEJAMOS LIBRES LAS CONECCIONES LOCALES >> iptables -A INPUT -i lo -j ACCEPT >> >> #TENEMOS ACCESO A LA RED DESDE LA INTERFACE bond0 >> iptables -A INPUT -s 192.168.100.0/24 -i bond0 -j ACCEPT >> >> #ACCESO A WEB >> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT >> # ACCESOS A HTTPS >> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT >> >> # Aceptamos que consulten los DNS >> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 53 -j ACCEPT >> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p udp --dport 53 -j ACCEPT >> >> #CERRAMOS EL RESTO DE LOS PUERTOS >> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -j DROP >> >> >> Esto no esta funcionando...no bloquea la ip que le especifico, >> >> #Bloqueo a direccion ip cualquiera >> iptables -A FORWARD -s 200.29.182.140 -j REJECT >> >> Probe tambien con: >> iptables -A FORWARD -s 200.29.182.140 -p TCP --dport 80 -j REJECT >> >> Ahora si cambio la linea : iptables -A FORWARD -s 192.168.100.0/24 -i >> bond0 -p tcp --dport 80 -j ACCEPT por REJECT, efectivamente bloquea >> la navegacion por web. >> Cualquier tips lo agradeceria. > > segun lo que entendi seria algo asi tu implementacion > > > RED INTERNA <----- ||FW || bond0 <-------- RED EXTERNA
RED INTERNA <------bond0 || FW || bond1 <-------RED EXTERNA > > lo que me parece es que el -s 192.168.100.0/24 , indica una red privada, > hay algun proxy delante del cortafuegos?? ( en 192.168.100.0) > Si si perdon, me equivoque en esto, la regla es asi: iptables -A FORWARD -d 200.29.182.140 -p tcp --dport 80 -j REJECT iptables -A FORWARD -d 200.29.182.140 -j REJECT Cualquiera de las 2 no funciona. > ya que si dices que si la regla FORWARD con origen 192.168.100.0/24 la > cambias por REJECT te bloquea el trafico web(y de paso todo el trafico > que venga de esa red) y directamente dando la ip publica (200.x.x....) > no pasa nada. > > Corrijeme si entendi mal tu caso... y que hay detras y delante del fw... > al principio del archivo para establecer las reglas esta : #ACCESO A WEB iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT # ACCESOS A HTTPS iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT Mas abajo despues agrego la regla para bloquear un dominio X, a modo de ejemplo: iptables -A FORWARD -d 200.29.182.140 -j REJECT esto no funciona, accedo igual a la ip. Pero si cambio la primera regla: iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j REJECT , efectivamente bloquea la red interna para que tenga web. Espero que halla sido mas claro ahora. > > -- > ::Pedro::GM:: > User #397462 > http://counter.li.org > > >
