Holas.
Tavo dec�a:
> Ten�s razon Hector, se equivoc�.
> Con respecto a lo que preguntas:
>
> Si la linea la pones en forward, ocurre antes del postrouting. O sea
> que te evitas que sea procesado por el modulo de postrouting (deberia
> ser lo mejor para el procesamiento)
Correcto, peeero...
recuerden que con el nuevo netfilter una cosa es filter y otra cosa es
NAT. Adem�s los paquetes que van a FORWARD NO PASAN ni por INPUT ni por
OUTPUT. Eso es distinto a como pasaba con ipchains.
Yo hab�a mandado un mail pero no sali�... sigo con problemas con mi DNS.
En �l dec�a que el NAT se aplica a lo que pase por FORWARD, as� que lo
que hay que hacer es deshabilitar FORWARD en general y permitirlo s�lo
para las PCs que quiero:
Para PROBAR:
iptables -P FORWARD DROP # Despu�s habilito lo que quiera
iptables -A FORWARD -s 192.168.10.12/32 -o ppp0 -j ACCEPT # Repetir con
# cada host que
#quiera
Ahora el enmascaramiento:
iptables -t nat -A POSTROUTING -i eth0 -o ppp0 -j MASQUERADE
S�lo van a poder salir las m�quinas que habilit� en la tabla "filter", "nat" es m�s
general.
As� es f�cil sacar y poner m�quinas de la lista de "con internet"
simplemente desde "filter". Incluso puedo habilitarle s�lo algunos
servicios de esta forma, por ejemplo:
iptables -A FORWARD -i eth0 -s 192.168.10.12/32 -o ppp0 -p tcp --dport=110
-j ACCEPT # s�lo habilito POP3
Ojo que al poner la pol�tica de FORWARD en DROP tengo que habilitar el
"retorno" de las conexiones a los hosts que la originaron:
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Igual en INPUT.
Por Internet (netfilter.org p. ej.) hay MUCHOS ejemplos, mucho mejores que
esto, que escrib� apurado y de memoria.
Saludos!
> On Fri, 8 Oct 2004 08:23:18 -0300
> H�ctor Jaskolowski <[EMAIL PROTECTED]> wrote:
>
> > > ===========================
> > > iptables -P INPUT DROP
> > > ===========================
> > >
> > > # Permito servicios www y ssh (ejemplo ilustrativo)
> > > iptables -A INPUT -p tcp --dport http -j ACCEPT
> > > iptables -A INPUT -p tcp --dport ssh -j ACCEPT
> > >
> > > # s�lo maquinas que habilitadas
> > > iptables -A INPUT -s 192.168.10.12 -j ACCEPT
> > > iptables -A INPUT -s 192.168.10.13 -j ACCEPT
> > > iptables -A INPUT -s 192.168.10.14 -j ACCEPT
> > > iptables -A INPUT -s 192.168.10.15 -j ACCEPT
> > >
> > > # Dejo conecciones establecidas
> > > iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
> > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > > iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
> > > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> > >
> > > # Masquerade local subred
> > > iptables -t nat -A POSTROUTING -s 192.168.0.10/24 -o eth0 -j MASQUERADE
> >
> > y con esto no estas permitiendo que toda la LAN 192.168.10 pase por mi
> > firewall ?
> > yo solo quiero que pasen de la 10 a la 15. cualquiera que use otra IP, �que
> > directamente vaya a -j DROP
> >
> >
> > _______________________________________________
> > Lista de Correo Lnx-brc
> > [EMAIL PROTECTED]
> > http://www.cenitec.com.ar/mailman/listinfo/lnx-brc
> > Grupo de Ususarios de Linux Bariloche - GULBar - http://www.gulbar.homelinux.org
>
>
> +---------------------------------------------------------------------------+
> | Gustavo Berman -#- Sysadmin -#- Depto.Informatica |
> |Universidad Nacional del Comahue - Centro Regional Universitario Bariloche.|
> | TEL: +54 (02944) 428505-423374 INT: 408 |
> | MSM: [EMAIL PROTECTED] -#- ICQ: 64407932 -#- YAHOO: gustavoberman |
> +---------------------------------------------------------------------------+
>
> _______________________________________________
> Lista de Correo Lnx-brc
> [EMAIL PROTECTED]
> http://www.cenitec.com.ar/mailman/listinfo/lnx-brc
> Grupo de Ususarios de Linux Bariloche - GULBar - http://www.gulbar.homelinux.org
>
--
------------------------------------
Nahuel Iglesias *
Cenitec SRL *
Bariloche - Patagonia Argentina *
*
�Qu� est�s haciendo, Dave ?. Nada, HAL, te instalo Windows 95.
_______________________________________________
Lista de Correo Lnx-brc
[EMAIL PROTECTED]
http://www.cenitec.com.ar/mailman/listinfo/lnx-brc
Grupo de Ususarios de Linux Bariloche - GULBar - http://www.gulbar.homelinux.org
