subject:"IpTables"

entendido y eso fue lo que hice
gracias a todos

- Mensaje original -
De: Matias Mucciolo 
Para: debian-user-spanish@lists.debian.org
CC: Wilfredo Martínez Consuegra (CO6WIL) 
Enviado: Fri, 28 Dec 2018 11:08:32 -0500 (EST)
Asunto: Re: iptables

On Friday, December 28, 2018 9:51:37 AM -03 Wilfredo Martínez Consuegra 
(CO6WIL) wrote:
> saludosquiero restringir con iptables el puerto 25 para varios rangos de ips
> diferentes.se hacerlo para un solo rango, pero lo necesito para varios
> rangos sin tener que duplicar o poner N veces la misma linea con el rango
> de ip diferente.Hay alguna via de poner todos los rangos en un fichero y
> poder invocarlos desde iptables con una sola linea?saludoswhilo Este
> mensaje le ha llegado mediante el servicio de correo electronico que ofrece
> la Federacion de Radioaficionados de Cuba. La persona que envia este correo
> asume el compromiso de usar el servicio y cumplir con las regulaciones
> establecidas. FRCUBA: https://www.frcuba.cu/

Buenas 
Para muchos rangos es recomendado usar ipset..es una extensión de iptables.
si queres bloquear todo menos tu pais lo mas facil seria lo inverso
aceptar todos los rangos de tu pais y bloquear todo el resto con
una sola linea.

no se si se entiende..
saludos
Matias.-

Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este 
correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
establecidas. FRCUBA: https://www.frcuba.cu/

Re: iptables

2018-12-28 Por tema Matias Mucciolo



On Friday, December 28, 2018 9:51:37 AM -03 Wilfredo Martínez Consuegra 
(CO6WIL) wrote:
> saludosquiero restringir con iptables el puerto 25 para varios rangos de ips
> diferentes.se hacerlo para un solo rango, pero lo necesito para varios
> rangos sin tener que duplicar o poner N veces la misma linea con el rango
> de ip diferente.Hay alguna via de poner todos los rangos en un fichero y
> poder invocarlos desde iptables con una sola linea?saludoswhilo Este
> mensaje le ha llegado mediante el servicio de correo electronico que ofrece
> la Federacion de Radioaficionados de Cuba. La persona que envia este correo
> asume el compromiso de usar el servicio y cumplir con las regulaciones
> establecidas. FRCUBA: https://www.frcuba.cu/

Buenas 
Para muchos rangos es recomendado usar ipset..es una extensión de iptables.
si queres bloquear todo menos tu pais lo mas facil seria lo inverso
aceptar todos los rangos de tu pais y bloquear todo el resto con
una sola linea.

no se si se entiende..
saludos
Matias.-

Re: iptables

Gracias
esto es justo lo que buscabaWhilo
- Mensaje original -
De: Paynalton 
Para: Javier ArgentinaBBAR 
CC: DUS 
Enviado: Fri, 28 Dec 2018 10:53:16 -0500 (EST)
Asunto: Re: iptables

Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO

Ciudad de México

El vie., 28 dic. 2018 a las 9:43, Javier ArgentinaBBAR 
() escribió:
El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra

(CO6WIL) () escribió:

>

> saludos

> quiero restringir con iptables el puerto 25 para varios rangos de ips 
> diferentes.

> se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener 
> que duplicar o poner N veces la misma linea con el rango de ip diferente.

> Hay alguna via de poner todos los rangos en un fichero y poder invocarlos 
> desde iptables con una sola linea?

> saludos

> whilo

>

> Este mensaje le ha llegado mediante el servicio de correo electrónico que 
> ofrece la Federación de Radioaficionados de Cuba. La persona que envía este 
> correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
> establecidas. FRCUBA: https://www.frcuba.cu/

>


No, no se puede.

Sí se puede:
https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/

aunque como dice Javier, no hay mucho sentido en hacerlo así pues terminas con 
una sentencia enorme y difícil de leer/mantener
es mejor manejar cada rango en una línea separada, así puedes comentar o 
descomentar un rango fácilmente sin tener que modificar a los demás rngos.

 
Te permite bloquear un rango por línea, no acepta múltiples rango.

Lo cual hacerlo, es un despropósito.

Si tenés distinto nivel de usuarios, asignales un rango de IP a los

que quieras bloquear.

Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo.

Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con


-m iprange --src-range 10.10.2.1-10.10.2.255


JAP




Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este 
correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
establecidas. FRCUBA: https://www.frcuba.cu/

Re: iptables

2018-12-28 Por tema Paynalton

Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO

Ciudad de México


El vie., 28 dic. 2018 a las 9:43, Javier ArgentinaBBAR (<
javier.debian.bb...@gmail.com>) escribió:

> El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra
> (CO6WIL) () escribió:
> >
> > saludos
> > quiero restringir con iptables el puerto 25 para varios rangos de ips
> diferentes.
> > se hacerlo para un solo rango, pero lo necesito para varios rangos sin
> tener que duplicar o poner N veces la misma linea con el rango de ip
> diferente.
> > Hay alguna via de poner todos los rangos en un fichero y poder
> invocarlos desde iptables con una sola linea?
> > saludos
> > whilo
> >
> > Este mensaje le ha llegado mediante el servicio de correo electrónico
> que ofrece la Federación de Radioaficionados de Cuba. La persona que envía
> este correo asume el compromiso de usar el servicio y cumplir con las
> regulaciones establecidas. FRCUBA: https://www.frcuba.cu/
> >
>
> No, no se puede.
>

Sí se puede:

https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/

aunque como dice Javier, no hay mucho sentido en hacerlo así pues terminas
con una sentencia enorme y difícil de leer/mantener

es mejor manejar cada rango en una línea separada, así puedes comentar o
descomentar un rango fácilmente sin tener que modificar a los demás rngos.




> Te permite bloquear un rango por línea, no acepta múltiples rango.
> Lo cual hacerlo, es un despropósito.
> Si tenés distinto nivel de usuarios, asignales un rango de IP a los
> que quieras bloquear.
> Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo.
> Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables
> bloqueas con
>
> -m iprange --src-range 10.10.2.1-10.10.2.255
>
> JAP
>
>

Re: iptables

gracias javier, aclaras mi duda.
lo que intento es que un puerto determinado solo este disponible para mi pais y 
no para el mundo, pero la solucion fue la de poner N lineas pues mi pais tiene 
varios rangos de ips.
de cualquier modo, te agadezco
feliz navidad desde Cuba

Whilo
- Mensaje original -
De: Javier ArgentinaBBAR 
Para: DUS 
Enviado: Fri, 28 Dec 2018 10:43:14 -0500 (EST)
Asunto: Re: iptables

El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra
(CO6WIL) () escribió:
>
> saludos
> quiero restringir con iptables el puerto 25 para varios rangos de ips 
> diferentes.
> se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener 
> que duplicar o poner N veces la misma linea con el rango de ip diferente.
> Hay alguna via de poner todos los rangos en un fichero y poder invocarlos 
> desde iptables con una sola linea?
> saludos
> whilo
>
> Este mensaje le ha llegado mediante el servicio de correo electrónico que 
> ofrece la Federación de Radioaficionados de Cuba. La persona que envía este 
> correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
> establecidas. FRCUBA: https://www.frcuba.cu/
>

No, no se puede.
Te permite bloquear un rango por línea, no acepta múltiples rango.
Lo cual hacerlo, es un despropósito.
Si tenés distinto nivel de usuarios, asignales un rango de IP a los
que quieras bloquear.
Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo.
Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con

-m iprange --src-range 10.10.2.1-10.10.2.255

JAP


Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este 
correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
establecidas. FRCUBA: https://www.frcuba.cu/

Re: iptables

2018-12-28 Por tema Javier ArgentinaBBAR

El vie., 28 dic. 2018 a las 11:52, Wilfredo Martínez Consuegra
(CO6WIL) () escribió:
>
> saludos
> quiero restringir con iptables el puerto 25 para varios rangos de ips 
> diferentes.
> se hacerlo para un solo rango, pero lo necesito para varios rangos sin tener 
> que duplicar o poner N veces la misma linea con el rango de ip diferente.
> Hay alguna via de poner todos los rangos en un fichero y poder invocarlos 
> desde iptables con una sola linea?
> saludos
> whilo
>
> Este mensaje le ha llegado mediante el servicio de correo electrónico que 
> ofrece la Federación de Radioaficionados de Cuba. La persona que envía este 
> correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
> establecidas. FRCUBA: https://www.frcuba.cu/
>

No, no se puede.
Te permite bloquear un rango por línea, no acepta múltiples rango.
Lo cual hacerlo, es un despropósito.
Si tenés distinto nivel de usuarios, asignales un rango de IP a los
que quieras bloquear.
Por ejemplo, 10.10.1.x a los "de primera", sin bloqueo.
Y 10.10.2.x. a los "de segunda", con bloqueo, y luego, en iptables bloqueas con

-m iprange --src-range 10.10.2.1-10.10.2.255

JAP

iptables

saludosquiero restringir con iptables el puerto 25 para varios rangos de ips 
diferentes.se hacerlo para un solo rango, pero lo necesito para varios rangos 
sin tener que duplicar o poner N veces la misma linea con el rango de ip 
diferente.Hay alguna via de poner todos los rangos en un fichero y poder 
invocarlos desde iptables con una sola linea?saludoswhilo
Este mensaje le ha llegado mediante el servicio de correo electronico que 
ofrece la Federacion de Radioaficionados de Cuba. La persona que envia este 
correo asume el compromiso de usar el servicio y cumplir con las regulaciones 
establecidas. FRCUBA: https://www.frcuba.cu/

Re: una consulta sobre iptables y el puerto 80

2018-11-27 Por tema Matias Mucciolo

On Tuesday, November 27, 2018 4:30:32 PM -03 Matias Mucciolo wrote:
> On Tuesday, November 27, 2018 1:25:36 PM -03 Armando Victor Corona Ramos
> 
> wrote:
> > saludos colegas, resulta que tengo un server en debian 9 el cual está
> > funcionando como webserver, estoy tratando de configurarle iptables para
> > mejorar la seguridad del mismo.
> > 
> > tengo dos tarjetas:
> > 10.10.10.10 para la LAN y
> > 12.23.32.25 (hipotético) para mi enlace externo
> > 
> > deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo
> > para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en
> > mi
> > red interna.
> > 
> > podría hacer algo como esto:
> > 
> > iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
> > iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
> > 
> > muchas gracias por su paciencia
> 
> hola Armando
> 
> vas a tener que poner algo como :
> 
> iptables -A INTERFACE-INET -p tcp --dport 80 -j REJECT
> 
> con esa linea bloqueas todo el trafico que entra en la interface
> "INTERFACE-INET" (la que tiene ip 12.23.32.25) al puerto 80
> 
> ojo si tenes mas reglas genericas que acepten en el puerto 80.
> El orden de las reglas tambien importan obviamente.
> 
> saludos
> Matias.

corrijo la linea escribi de memoria sin doble chequear..la correcta es:

iptables -A INPUT -i INTERFACE-INET -p tcp --dport 80 -j REJECT

obviamente que tenes que cambiar "INTERFACE-INET" por el nombre de la
interface ya sea eth0 o cual tenga esa ip de internet.

saludos

Re: una consulta sobre iptables y el puerto 80

2018-11-27 Por tema Matias Mucciolo



On Tuesday, November 27, 2018 1:25:36 PM -03 Armando Victor Corona Ramos 
wrote:
> saludos colegas, resulta que tengo un server en debian 9 el cual está
> funcionando como webserver, estoy tratando de configurarle iptables para
> mejorar la seguridad del mismo.
> 
> tengo dos tarjetas:
> 10.10.10.10 para la LAN y
> 12.23.32.25 (hipotético) para mi enlace externo
> 
> deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo
> para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi
> red interna.
> 
> podría hacer algo como esto:
> 
> iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
> 
> muchas gracias por su paciencia

hola Armando

vas a tener que poner algo como :

iptables -A INTERFACE-INET -p tcp --dport 80 -j REJECT

con esa linea bloqueas todo el trafico que entra en la interface 
"INTERFACE-INET" (la que tiene ip 12.23.32.25) al puerto 80

ojo si tenes mas reglas genericas que acepten en el puerto 80.
El orden de las reglas tambien importan obviamente.

saludos
Matias.

Re: una consulta sobre iptables y el puerto 80

2018-11-27 Por tema Galvatorix Torixgalva

Hola,

Has probado usando la dirección mac?

Saludos

El mar., 27 de noviembre de 2018 7:17 p. m., Armando Victor Corona Ramos <
arvicor...@gmail.com> escribió:

> saludos colegas, resulta que tengo un server en debian 9 el cual está
> funcionando como webserver, estoy tratando de configurarle iptables para
> mejorar la seguridad del mismo.
>
> tengo dos tarjetas:
> 10.10.10.10 para la LAN y
> 12.23.32.25 (hipotético) para mi enlace externo
>
> deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo
> para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi
> red interna.
>
> podría hacer algo como esto:
>
> iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
>
> muchas gracias por su paciencia
>
>
>

una consulta sobre iptables y el puerto 80

2018-11-27 Por tema Armando Victor Corona Ramos

saludos colegas, resulta que tengo un server en debian 9 el cual está
funcionando como webserver, estoy tratando de configurarle iptables para
mejorar la seguridad del mismo.

tengo dos tarjetas:
10.10.10.10 para la LAN y
12.23.32.25 (hipotético) para mi enlace externo

deseo me orienten sobre cómo puedo restringir el acceso al puerto 80 solo
para la tarjeta de la LAN. O sea, que solo pueda acceder a ese puerto en mi
red interna.

podría hacer algo como esto:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

muchas gracias por su paciencia

Re: [OT] VPN ikec - postrouting iptables

2018-10-16 Por tema Matias Mucciolo

On Tuesday, October 16, 2018 5:07:21 PM -03 Debian Forever wrote:
> He lanzado un tcpdump en el servidor desde donde lanzo la VPN en tap0
> y no veo nada ... cuando lanzo el traceroute, telnet, ping... desde mi
> máquina linux, no mete tráfico...
> 
> tcpdump -i tap0
> 
> Sin embargo, si hago el tcpdump en la interfaz de red eth0
> 192.168.1.34, al hacer traceroute, telnet, ping desde mi máquina, sí
> que veo que mete tráfico... es decir, el enrutado está bien, el
> tráfico lo dirige bien pero no lo mete por tap0...
> 
> 192.168.0.100 (uno de los servidores dentro de la VPN)
> 
> tcpdump -i eth0 host 192.168.0.100
> 
> 17:03:40.318708 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id
> 14754, seq 1, length 64
> 17:03:40.323021 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id
> 14754, seq 1, length 64
> 17:03:41.337833 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id
> 14754, seq 2, length 64
> 17:03:41.341602 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id
> 14754, seq 2, length 64
> 

hola devuelta..contesta abajo no hagas top-posting... 

definitivamente no esta volviendo por la vpn...el "Masquerade"
como te comente antes no hace falta...no deberias usarlo.

y hacerla de los tcpdump para analizar mas la cosas
deberias poner el ejemplo de cada prueba que  estas haciendo
y el resultado del tcpdump..y no te olvides de las rutas..

analizando ese tcpdump que pusiste mucho no me dice
ya que no se de donde sali y a dodne iba el ping
como que la .0.34(?) mando un ping a la .0.100 ??
estan en la misma red...obviamente eso no va a
pasar por la vpn..

saludos.
Matias

Re: [OT] VPN ikec - postrouting iptables

2018-10-16 Por tema Debian Forever

He lanzado un tcpdump en el servidor desde donde lanzo la VPN en tap0
y no veo nada ... cuando lanzo el traceroute, telnet, ping... desde mi
máquina linux, no mete tráfico...

tcpdump -i tap0

Sin embargo, si hago el tcpdump en la interfaz de red eth0
192.168.1.34, al hacer traceroute, telnet, ping desde mi máquina, sí
que veo que mete tráfico... es decir, el enrutado está bien, el
tráfico lo dirige bien pero no lo mete por tap0...

192.168.0.100 (uno de los servidores dentro de la VPN)

tcpdump -i eth0 host 192.168.0.100

17:03:40.318708 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id
14754, seq 1, length 64
17:03:40.323021 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id
14754, seq 1, length 64
17:03:41.337833 IP 192.168.0.34 > 192.168.0.100: ICMP echo request, id
14754, seq 2, length 64
17:03:41.341602 IP 192.168.0.100 > 192.168.0.230: ICMP echo reply, id
14754, seq 2, length 64

On Tue, Oct 16, 2018 at 4:48 PM Debian Forever
 wrote:
>
> Buenas Matías, antes de nada gracias por contestar. Lo primero me
> corrijo, puesto que la regla postrouting estaba mal puesta:
>
> MAL:
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE
>
> BIEN:
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tap0 -j MASQUERADE
>
> Aún así no funciona... He lanzado tcpdump en la máquina linux que
> actúa de servidor, como cliente de la VPN, y lo que veo es que en
> cuanto lanzo un pingo desde mi máquina cliente hacia una ip del rango
> de las máquinas de la VPN 192.168.0.0/24, enruta bien y comienzo a ver
> "echo request ICMP" pero no veo "echo reply" ...
>
> No sé donde puede estar el problema, con otras conexiones VPN como
> openvpn, vpnc no he tenido problema...
>
> On Tue, Oct 16, 2018 at 2:10 PM Matias Mucciolo  
> wrote:
> >
> > On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote:
> > > On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote:
> > > > Buenas, recientemente he montado un servidor bajo debian el cual lo
> > > > quiero para montar una VPN usando el software ikec.
> > > >
> > > > Lo tengo todo montado, conecta sin problemas y llego a los hosts
> > > > internos a través de la conexión VPN tap0 sin problemas.
> > > >
> > > > # ifconfig
> > > >
> > > > tap0  Link encap:Ethernet  direcciónHW aa:7f:94:15:7d:cc
> > > >
> > > >  Direc. inet:192.168.0.230  Difus.:192.168.0.230
> > > >
> > > > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64
> > > > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO  MTU:1380  Métrica:1
> > > >
> > > >  Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
> > > >  Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0
> > > >  colisiones:0 long.colaTX:1000
> > > >  Bytes RX:0 (0.0 B)  TX bytes:0 (0.0 B)
> > > >
> > > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24
> > > >
> > > > Mi máquina linux debian desktop tiene la 192.168.1.34
> > > >
> > > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts
> > > > internos desde otra máquina linux, por ejemplo la mia desktop. Para
> > > > ello de forma rápida, me he puesto la ruta necesaria:
> > > >
> > > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33
> > > >
> > > > Y el tráfico, ya se enruta correctamente.
> > > >
> > > > Faltaría activar ip forward en el servidor:
> > > >
> > > > # sysctl -p
> > > > net.ipv4.ip_forward = 1
> > > >
> > > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una
> > > > regla iptables postrouting en el servidor de esta forma:
> > > >
> > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE
> > > >
> > > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la
> > > > máquina linux al hacer un traceroute e intentar llegar a un host
> > > > interno pero no obtengo respuesta... Siempre he usado este método para
> > > > otras conexiones VPN como por ejemplo openpvn o vpnc.
> > > >
> > > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0?
> > > >
> > > > Gracias de antemano.
> > >
> > > Buenas
> > > realmente no necesitas "masquerear" los paquete de salida...
> > > tenes que asegurarte solamente que salgan ..
> > >

Re: [OT] VPN ikec - postrouting iptables

2018-10-16 Por tema Debian Forever

Buenas Matías, antes de nada gracias por contestar. Lo primero me
corrijo, puesto que la regla postrouting estaba mal puesta:

MAL:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE

BIEN:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tap0 -j MASQUERADE

Aún así no funciona... He lanzado tcpdump en la máquina linux que
actúa de servidor, como cliente de la VPN, y lo que veo es que en
cuanto lanzo un pingo desde mi máquina cliente hacia una ip del rango
de las máquinas de la VPN 192.168.0.0/24, enruta bien y comienzo a ver
"echo request ICMP" pero no veo "echo reply" ...

No sé donde puede estar el problema, con otras conexiones VPN como
openvpn, vpnc no he tenido problema...

On Tue, Oct 16, 2018 at 2:10 PM Matias Mucciolo  wrote:
>
> On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote:
> > On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote:
> > > Buenas, recientemente he montado un servidor bajo debian el cual lo
> > > quiero para montar una VPN usando el software ikec.
> > >
> > > Lo tengo todo montado, conecta sin problemas y llego a los hosts
> > > internos a través de la conexión VPN tap0 sin problemas.
> > >
> > > # ifconfig
> > >
> > > tap0  Link encap:Ethernet  direcciónHW aa:7f:94:15:7d:cc
> > >
> > >  Direc. inet:192.168.0.230  Difus.:192.168.0.230
> > >
> > > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64
> > > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO  MTU:1380  Métrica:1
> > >
> > >  Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
> > >  Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0
> > >  colisiones:0 long.colaTX:1000
> > >  Bytes RX:0 (0.0 B)  TX bytes:0 (0.0 B)
> > >
> > > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24
> > >
> > > Mi máquina linux debian desktop tiene la 192.168.1.34
> > >
> > > Ahora pasaría al siguiente punto, que es poder acceder a los hosts
> > > internos desde otra máquina linux, por ejemplo la mia desktop. Para
> > > ello de forma rápida, me he puesto la ruta necesaria:
> > >
> > > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33
> > >
> > > Y el tráfico, ya se enruta correctamente.
> > >
> > > Faltaría activar ip forward en el servidor:
> > >
> > > # sysctl -p
> > > net.ipv4.ip_forward = 1
> > >
> > > Y finalmente, como siempre he hecho para conexiones openvpn, meter una
> > > regla iptables postrouting en el servidor de esta forma:
> > >
> > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE
> > >
> > > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la
> > > máquina linux al hacer un traceroute e intentar llegar a un host
> > > interno pero no obtengo respuesta... Siempre he usado este método para
> > > otras conexiones VPN como por ejemplo openpvn o vpnc.
> > >
> > > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0?
> > >
> > > Gracias de antemano.
> >
> > Buenas
> > realmente no necesitas "masquerear" los paquete de salida...
> > tenes que asegurarte solamente que salgan ..
> > esta bien el ip_forward y el ruteo para que salga por el tap0
> >
> > es decir si tu desk es la 1.34 y quiere acceder a la red .0.x
> > hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas)
> > es que no vuelven los paquetes..porque la red .0.X no sabe como llegar
> > a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la
> > regla de vuelta..
> >
> > esto facilmente lo podes analizar con tcpdump..para ver si llegan los
> > paquete y donde se queda...por ejemplo en le servidor podes poner
> >
> > tcpdump -i tap0 -n
> >
> > algo asi de sencillo y hacer un ping de tu desk a una ip .0.x
> > y deberias ver lso paquetes saliendo por tap0..
> >
> > ahora tenes que poner uno tcpdump en la otra punta y ver si llegan
> > al host .0.x .. y a la inversa...proba haciendo traceroute
> > desde la red .0.x a tu desk a ver que pasa..
> >
> > si adjuntas tcpdump's y traceroute's bien detallados
> > y rutas de los hosts en cuestiion seria mas facil de  saber
> > que estaria pasando..
> >
> > saludos..
> > Matias.
>
> aclaracion ahora que reeleo creo que lo que no podes hacer es llegar
> desde la .1.34 a la pc con la vpn.. todo lo que dije anterior
> aplicalo al reves. jaja
>
> es decir la pc .1.34 no sabe como entrar al tap0.
> no se que gateway tendra esa pc...pero deberia tener al menos
> para esa red la ip .1.33 y hace las pruebas con tcpdump que te vas
> a dar cuenta facilmente lo que esta pasando.
>
> saludos.
> Matias

Re: [OT] VPN ikec - postrouting iptables

2018-10-16 Por tema Matias Mucciolo

On Tuesday, October 16, 2018 9:03:59 AM -03 Matias Mucciolo wrote:
> On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote:
> > Buenas, recientemente he montado un servidor bajo debian el cual lo
> > quiero para montar una VPN usando el software ikec.
> > 
> > Lo tengo todo montado, conecta sin problemas y llego a los hosts
> > internos a través de la conexión VPN tap0 sin problemas.
> > 
> > # ifconfig
> > 
> > tap0  Link encap:Ethernet  direcciónHW aa:7f:94:15:7d:cc
> > 
> >  Direc. inet:192.168.0.230  Difus.:192.168.0.230
> > 
> > Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64
> > Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO  MTU:1380  Métrica:1
> > 
> >  Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
> >  Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0
> >  colisiones:0 long.colaTX:1000
> >  Bytes RX:0 (0.0 B)  TX bytes:0 (0.0 B)
> > 
> > La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24
> > 
> > Mi máquina linux debian desktop tiene la 192.168.1.34
> > 
> > Ahora pasaría al siguiente punto, que es poder acceder a los hosts
> > internos desde otra máquina linux, por ejemplo la mia desktop. Para
> > ello de forma rápida, me he puesto la ruta necesaria:
> > 
> > route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33
> > 
> > Y el tráfico, ya se enruta correctamente.
> > 
> > Faltaría activar ip forward en el servidor:
> > 
> > # sysctl -p
> > net.ipv4.ip_forward = 1
> > 
> > Y finalmente, como siempre he hecho para conexiones openvpn, meter una
> > regla iptables postrouting en el servidor de esta forma:
> > 
> > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE
> > 
> > Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la
> > máquina linux al hacer un traceroute e intentar llegar a un host
> > interno pero no obtengo respuesta... Siempre he usado este método para
> > otras conexiones VPN como por ejemplo openpvn o vpnc.
> > 
> > Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0?
> > 
> > Gracias de antemano.
> 
> Buenas
> realmente no necesitas "masquerear" los paquete de salida...
> tenes que asegurarte solamente que salgan ..
> esta bien el ip_forward y el ruteo para que salga por el tap0
> 
> es decir si tu desk es la 1.34 y quiere acceder a la red .0.x
> hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas)
> es que no vuelven los paquetes..porque la red .0.X no sabe como llegar
> a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la
> regla de vuelta..
> 
> esto facilmente lo podes analizar con tcpdump..para ver si llegan los
> paquete y donde se queda...por ejemplo en le servidor podes poner
> 
> tcpdump -i tap0 -n
> 
> algo asi de sencillo y hacer un ping de tu desk a una ip .0.x
> y deberias ver lso paquetes saliendo por tap0..
> 
> ahora tenes que poner uno tcpdump en la otra punta y ver si llegan
> al host .0.x .. y a la inversa...proba haciendo traceroute
> desde la red .0.x a tu desk a ver que pasa..
> 
> si adjuntas tcpdump's y traceroute's bien detallados
> y rutas de los hosts en cuestiion seria mas facil de  saber
> que estaria pasando..
> 
> saludos..
> Matias.

aclaracion ahora que reeleo creo que lo que no podes hacer es llegar 
desde la .1.34 a la pc con la vpn.. todo lo que dije anterior
aplicalo al reves. jaja

es decir la pc .1.34 no sabe como entrar al tap0.
no se que gateway tendra esa pc...pero deberia tener al menos
para esa red la ip .1.33 y hace las pruebas con tcpdump que te vas
a dar cuenta facilmente lo que esta pasando.

saludos.
Matias

Re: [OT] VPN ikec - postrouting iptables

2018-10-16 Por tema Matias Mucciolo

On Sunday, October 14, 2018 11:37:49 PM -03 Debian Forever wrote:
> Buenas, recientemente he montado un servidor bajo debian el cual lo
> quiero para montar una VPN usando el software ikec.
> 
> Lo tengo todo montado, conecta sin problemas y llego a los hosts
> internos a través de la conexión VPN tap0 sin problemas.
> 
> # ifconfig
> 
> tap0  Link encap:Ethernet  direcciónHW aa:7f:94:15:7d:cc
>  Direc. inet:192.168.0.230  Difus.:192.168.0.230 
> Másc:255.255.255.255 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64
> Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO  MTU:1380  Métrica:1
>  Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
>  Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0
>  colisiones:0 long.colaTX:1000
>  Bytes RX:0 (0.0 B)  TX bytes:0 (0.0 B)
> 
> La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24
> 
> Mi máquina linux debian desktop tiene la 192.168.1.34
> 
> Ahora pasaría al siguiente punto, que es poder acceder a los hosts
> internos desde otra máquina linux, por ejemplo la mia desktop. Para
> ello de forma rápida, me he puesto la ruta necesaria:
> 
> route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33
> 
> Y el tráfico, ya se enruta correctamente.
> 
> Faltaría activar ip forward en el servidor:
> 
> # sysctl -p
> net.ipv4.ip_forward = 1
> 
> Y finalmente, como siempre he hecho para conexiones openvpn, meter una
> regla iptables postrouting en el servidor de esta forma:
> 
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE
> 
> Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la
> máquina linux al hacer un traceroute e intentar llegar a un host
> interno pero no obtengo respuesta... Siempre he usado este método para
> otras conexiones VPN como por ejemplo openpvn o vpnc.
> 
> Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0?
> 
> Gracias de antemano.

Buenas
realmente no necesitas "masquerear" los paquete de salida...
tenes que asegurarte solamente que salgan ..
esta bien el ip_forward y el ruteo para que salga por el tap0

es decir si tu desk es la 1.34 y quiere acceder a la red .0.x
hiciste todo bien...ahora lo que supongo que esta pasando(sin pruebas)
es que no vuelven los paquetes..porque la red .0.X no sabe como llegar 
a tu desk(1.34)...por lo que a mi a simple vista me parece que falta la 
regla de vuelta..

esto facilmente lo podes analizar con tcpdump..para ver si llegan los
paquete y donde se queda...por ejemplo en le servidor podes poner

tcpdump -i tap0 -n 

algo asi de sencillo y hacer un ping de tu desk a una ip .0.x
y deberias ver lso paquetes saliendo por tap0..

ahora tenes que poner uno tcpdump en la otra punta y ver si llegan
al host .0.x .. y a la inversa...proba haciendo traceroute 
desde la red .0.x a tu desk a ver que pasa..

si adjuntas tcpdump's y traceroute's bien detallados
y rutas de los hosts en cuestiion seria mas facil de  saber
que estaria pasando..

saludos..
Matias.

[OT] VPN ikec - postrouting iptables

2018-10-14 Por tema Debian Forever

Buenas, recientemente he montado un servidor bajo debian el cual lo
quiero para montar una VPN usando el software ikec.

Lo tengo todo montado, conecta sin problemas y llego a los hosts
internos a través de la conexión VPN tap0 sin problemas.

# ifconfig

tap0  Link encap:Ethernet  direcciónHW aa:7f:94:15:7d:cc
 Direc. inet:192.168.0.230  Difus.:192.168.0.230  Másc:255.255.255.255
 Dirección inet6: fe80::a87f:94ff:fe15:7dcc/64 Alcance:Enlace
 ACTIVO DIFUSIÓN FUNCIONANDO  MTU:1380  Métrica:1
 Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
 Paquetes TX:0 errores:0 perdidos:0 overruns:0 carrier:0
 colisiones:0 long.colaTX:1000
 Bytes RX:0 (0.0 B)  TX bytes:0 (0.0 B)

La máquina linux donde he montado la VPN tiene la ip 192.168.1.33/24

Mi máquina linux debian desktop tiene la 192.168.1.34

Ahora pasaría al siguiente punto, que es poder acceder a los hosts
internos desde otra máquina linux, por ejemplo la mia desktop. Para
ello de forma rápida, me he puesto la ruta necesaria:

route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.33

Y el tráfico, ya se enruta correctamente.

Faltaría activar ip forward en el servidor:

# sysctl -p
net.ipv4.ip_forward = 1

Y finalmente, como siempre he hecho para conexiones openvpn, meter una
regla iptables postrouting en el servidor de esta forma:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE

Pero no funciona, el tráfico lo enruta bien desde mi máquina hacia la
máquina linux al hacer un traceroute e intentar llegar a un host
interno pero no obtengo respuesta... Siempre he usado este método para
otras conexiones VPN como por ejemplo openpvn o vpnc.

Hay algo que se me escapa al ser una conexión de tipo de adaptador tap0?

Gracias de antemano.

Re: Consulta nateo - iptables

2018-09-14 Por tema OddieX

El vie., 14 de sep. de 2018 12:38, Fernando Romero 
escribió:

>
>
> El 14 de septiembre de 2018, 11:42, OddieX  escribió:
>
>>
>>
>> El vie., 14 de sep. de 2018 11:36,  escribió:
>>
>>>
>>>
>>> > El 14 sept 2018, a las 13:21, Fernando Romero 
>>> escribió:
>>> >
>>> > Hola como están.
>>> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean
>>> entre si, una 192.168.1.0 y otra 192.168.1.2.
>>>
>>> Asumo que eso es un error… ambas IP son de la misma red
>>>
>>> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no
>>> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
>>> > Esto es un punto a punto, en el medio tengo solamente un router de
>>> Metrotel que lo único que hace es todo paquete que llegue a cada red lo
>>> reenvía a la misma.
>>> > El outbound me esta funcionando bien, pero algo de iptable no me esta
>>> dejando volver a la 1.0
>>>
>>> Sin conocer como están definidos los interfaces y rutas en el equipo
>>> origen y destino, así como las reglas de iptables y que es un “router de
>>> Metrotel”, es complicado decir que puede ocurrir.
>>>
>>> De todos modos yo empezaría por comprobar que las máscaras de red estén
>>> bien definidas en los equipos (origen y destino) con los que haces las
>>> pruebas.
>>>
>>> Danos más info y algo veremos.
>>>
>>> Un saludo
>>>
>>> >
>>> > Saludos
>>>
>>>
>>>
>>>
>>>
>>>
>> Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes
>> tienen la misma puerta de enlace y el router tiene las 2 subredes
>> configuradas?
>>
>> Probaste hacer un -j masquerade a ver si enmascarando la podes ver?
>>
>> No probe eso, lo voy a probar
>

Imagino a tiraste un tracert hacia la red q no llegas a ver que sucede...

Lo que podes probar es configueando rutas hacia la otra red manualmente en
los clientes especificando q busque la otra subred via el router del medio

Re: Consulta nateo - iptables

2018-09-14 Por tema Fernando Romero

El 14 de septiembre de 2018, 11:18,  escribió:

>
>
> > El 14 sept 2018, a las 13:21, Fernando Romero 
> escribió:
> >
> > Hola como están.
> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean
> entre si, una 192.168.1.0 y otra 192.168.1.2.
>
> Asumo que eso es un error… ambas IP son de la misma red
>
> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no
> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
> > Esto es un punto a punto, en el medio tengo solamente un router de
> Metrotel que lo único que hace es todo paquete que llegue a cada red lo
> reenvía a la misma.
> > El outbound me esta funcionando bien, pero algo de iptable no me esta
> dejando volver a la 1.0
>
> Sin conocer como están definidos los interfaces y rutas en el equipo
> origen y destino, así como las reglas de iptables y que es un “router de
> Metrotel”, es complicado decir que puede ocurrir.
>
> De todos modos yo empezaría por comprobar que las máscaras de red estén
> bien definidas en los equipos (origen y destino) con los que haces las
> pruebas.
>
> Danos más info y algo veremos.
>
> Un saludo
>
> >
> > Saludos
>
>
>
Metrotel el proveedor ISP que une las punto a punto

Re: Consulta nateo - iptables

2018-09-14 Por tema Fernando Romero

El 14 de septiembre de 2018, 11:42, OddieX  escribió:

>
>
> El vie., 14 de sep. de 2018 11:36,  escribió:
>
>>
>>
>> > El 14 sept 2018, a las 13:21, Fernando Romero 
>> escribió:
>> >
>> > Hola como están.
>> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean
>> entre si, una 192.168.1.0 y otra 192.168.1.2.
>>
>> Asumo que eso es un error… ambas IP son de la misma red
>>
>> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no
>> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
>> > Esto es un punto a punto, en el medio tengo solamente un router de
>> Metrotel que lo único que hace es todo paquete que llegue a cada red lo
>> reenvía a la misma.
>> > El outbound me esta funcionando bien, pero algo de iptable no me esta
>> dejando volver a la 1.0
>>
>> Sin conocer como están definidos los interfaces y rutas en el equipo
>> origen y destino, así como las reglas de iptables y que es un “router de
>> Metrotel”, es complicado decir que puede ocurrir.
>>
>> De todos modos yo empezaría por comprobar que las máscaras de red estén
>> bien definidas en los equipos (origen y destino) con los que haces las
>> pruebas.
>>
>> Danos más info y algo veremos.
>>
>> Un saludo
>>
>> >
>> > Saludos
>>
>>
>>
>>
>>
>>
> Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes
> tienen la misma puerta de enlace y el router tiene las 2 subredes
> configuradas?
>
> Probaste hacer un -j masquerade a ver si enmascarando la podes ver?
>
> No probe eso, lo voy a probar

Re: Consulta nateo - iptables

2018-09-14 Por tema OddieX

El vie., 14 de sep. de 2018 11:36,  escribió:

>
>
> > El 14 sept 2018, a las 13:21, Fernando Romero 
> escribió:
> >
> > Hola como están.
> > Tengo una duda con el nateo, tengo 2 redes que necesito que se vean
> entre si, una 192.168.1.0 y otra 192.168.1.2.
>
> Asumo que eso es un error… ambas IP son de la misma red
>
> > Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no
> al reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
> > Esto es un punto a punto, en el medio tengo solamente un router de
> Metrotel que lo único que hace es todo paquete que llegue a cada red lo
> reenvía a la misma.
> > El outbound me esta funcionando bien, pero algo de iptable no me esta
> dejando volver a la 1.0
>
> Sin conocer como están definidos los interfaces y rutas en el equipo
> origen y destino, así como las reglas de iptables y que es un “router de
> Metrotel”, es complicado decir que puede ocurrir.
>
> De todos modos yo empezaría por comprobar que las máscaras de red estén
> bien definidas en los equipos (origen y destino) con los que haces las
> pruebas.
>
> Danos más info y algo veremos.
>
> Un saludo
>
> >
> > Saludos
>
>
>
>
>
>
Claramente tenes un problema de ruteo... Ambos equipos de las 2 subredes
tienen la misma puerta de enlace y el router tiene las 2 subredes
configuradas?

Probaste hacer un -j masquerade a ver si enmascarando la podes ver?

Re: Consulta nateo - iptables

2018-09-14 Por tema julher




> El 14 sept 2018, a las 13:21, Fernando Romero  
> escribió:
> 
> Hola como están.
> Tengo una duda con el nateo, tengo 2 redes que necesito que se vean entre si, 
> una 192.168.1.0 y otra 192.168.1.2.

Asumo que eso es un error… ambas IP son de la misma red

> Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no al 
> reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
> Esto es un punto a punto, en el medio tengo solamente un router de Metrotel 
> que lo único que hace es todo paquete que llegue a cada red lo reenvía a la 
> misma.
> El outbound me esta funcionando bien, pero algo de iptable no me esta dejando 
> volver a la 1.0

Sin conocer como están definidos los interfaces y rutas en el equipo origen y 
destino, así como las reglas de iptables y que es un “router de Metrotel”, es 
complicado decir que puede ocurrir.

De todos modos yo empezaría por comprobar que las máscaras de red estén bien 
definidas en los equipos (origen y destino) con los que haces las pruebas.

Danos más info y algo veremos.

Un saludo

> 
> Saludos

Consulta nateo - iptables

2018-09-14 Por tema Fernando Romero

Hola como están.
Tengo una duda con el nateo, tengo 2 redes que necesito que se vean entre
si, una 192.168.1.0 y otra 192.168.1.2.
Cree el ruteo desde la 192.168.1.0 y puedo ver la 192.168.2.0, pero no al
reves, es decir desde la 192.168.2.0 no veo la 192.168.1.0
Esto es un punto a punto, en el medio tengo solamente un router de Metrotel
que lo único que hace es todo paquete que llegue a cada red lo reenvía a la
misma.
El outbound me esta funcionando bien, pero algo de iptable no me esta
dejando volver a la 1.0

Saludos

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Ramses

El 25 de octubre de 2017 15:18:45 CEST, Juan Lavieri <jlavi...@gmail.com> 
escribió:
>Hola.
>
>Ante todo por favor tomen nota que esta intervención no es una crítica
>ni algo por el estilo, mas bien veámoslo como una consulta en la misma
>corriente de la consulta original.
>
>
>El 25-10-2017 a las 08:16 a.m., JAP escribió:
>
>El 24/10/17 a las 22:41, u...@tutanota.de escribió: 
>
>
>Hola, como tuve inconvenientes con iptables-persistent y slim.  El
>Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando
>los metodos para la carga de un script con las reglas al inicio del
>sistema. Pero encontré tutoriales con varios años y no se si todavia
>sirven para las versiones actuales de Debian. 
>
>No se si colocarlo en /etc/network/if-pre-up.d 
>o en /etc/rc.local 
>
>Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
>donde colocar el script para Debian 8/9 
>
>Gracias, saludos 
>
>
>
>TODA la bibliografía de iptables recomienda crear las reglas en
>/etc/rc.local o colgar un script desde allí. 
>
>
>¿Han tomado el cuenta que la mayor parte de la información sobre
>iptables no está totalmente actualizada?
>
>Me explico.  Actualmente debian utiliza systemd como sistema de inicio
>y según tengo entendido, los scripts colocados en rc.local no se
>inician de manera automática.
>
>Esto hace que la mejor manera de manejar el arranque de los diferentes
>demonios sea mediante el propio systemd.
>
>Yo personalmente seguí las instruccines que se muestran aquí: 
>
>https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/
>
>luego de adaptarlas a mis necesidades.
>
>
>
>Desventaja: hay que ir probando de a una en una consola hasta que
>funcione como te guste, pues la construcción es a mano. Pero una vez
>logras lo que quieres, funciona sin inconvenientes. 
>
>Ventaja: al ejecutarse al final de la secuencia de arranque, te
>asegurás que todo está funcionando sin inconvenientes. Instalarlas como
>ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no
>funcione como es debido si has tenido un problema durante el proceso de
>configuración de la red en el arranque. 
>
>Si te estás metiendo con iptables, es porque estás profundizando tus
>conocimientos de GNU/Linux, por lo que las interfaces de configuración
>gráficas, no son lo mejor que tienes para aprender. 
>
>iptables-persistent es interesante, pero lo mejor, es empezar cada
>arranque con todo iptables limpio, y configurarlo línea a línea. 
>
>No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te
>puede dar una mano. 
>
>Saludos. 
>
>
>Saludos.
>-- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los
>demás. 

Juan, solo le veo un inconveniente a este método, y es que si, por ejemplo, 
tienes un software como fail2ban, que va agregando reglas a iptables, y no 
salvas y restauras las reglas en el momento de un reinicio, y reestableces solo 
las que hay en el script, fail2ban tiene que volver a orlas agregando conforme 
vayan atacando.

Lo mismo se podría modificar el script para que importara también las salvadas 
anteriormente.


Saludos,

Ramses

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema JAP

El 25/10/17 a las 10:18, Juan Lavieri escribió:

Hola.

Ante todo por favor tomen nota que esta intervención no es una crítica
ni algo por el estilo, mas bien veámoslo como una consulta en la misma
corriente de la consulta original.

El 25-10-2017 a las 08:16 a.m., JAP escribió:

El 24/10/17 a las 22:41, u...@tutanota.de escribió:

Hola, como tuve inconvenientes con iptables-persistent y slim. El
Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando
los metodos para la carga de un script con las reglas al inicio del
sistema. Pero encontré tutoriales con varios años y no se si todavia
sirven para las versiones actuales de Debian.

No se si colocarlo en /etc/network/if-pre-up.d
o en /etc/rc.local

Por favor me podrían recomendar cual es el lugar mas fiable y seguro
en donde colocar el script para Debian 8/9

Gracias, saludos

TODA la bibliografía de iptables recomienda crear las reglas en
/etc/rc.local o colgar un script desde allí.

¿Han tomado el cuenta que la mayor parte de la información sobre
iptables no está totalmente actualizada?

man iptables
Actualizado a la versión 1.6.1 en "buster", que es la última, que con
ipv6 anda que es una maravilla.

Y si te quedan dudas, http://netfilter.org/projects/iptables/

Me explico. Actualmente debian utiliza systemd como sistema de inicio y
según tengo entendido, los scripts colocados en rc.local no se inician
de manera automática.

Sigue funcionando como siempre. La única diferencia es que se llama
desde un script específico de systemd

El cual, si uno se anima, se puede toquetear al igual que /etc/rc.local.
Pero por una cuestión de costumbre, prefiero mantener las cosas en este
viejo, pues es más fácil de ubicar.
Tal vez a futuro, lo más prolijo sería que /etc/rc.local se convierta en
un enlace a /lib/systemd/system/rc-local.service

-
:~# cat /lib/systemd/system/rc-local.service
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.

# This unit gets pulled automatically into multi-user.target by
# systemd-rc-local-generator if /etc/rc.local is executable.
[Unit]
Description=/etc/rc.local Compatibility
ConditionFileIsExecutable=/etc/rc.local
After=network.target

[Service]
Type=forking
ExecStart=/etc/rc.local start
TimeoutSec=0
RemainAfterExit=yes
GuessMainPID=no
-

Lo único raro que hubo, fue que al principio, con "Jessie",
/etc/rc.local no era "ejecutable por defecto", y por ende,
/lib/systemd/system/rc-local.service no lo ejecutaba, razón por la que
había que cambiarle los permisos a mano.

Esto hace que la mejor manera de manejar el arranque de los diferentes
demonios sea mediante el propio systemd.

Yo personalmente seguí las instruccines que se muestran aquí:

https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/

luego de adaptarlas a mis necesidades.

Desventaja: hay que ir probando de a una en una consola hasta que
funcione como te guste, pues la construcción es a mano. Pero una vez
logras lo que quieres, funciona sin inconvenientes.

Ventaja: al ejecutarse al final de la secuencia de arranque, te
asegurás que todo está funcionando sin inconvenientes. Instalarlas
como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no
funcione como es debido si has tenido un problema durante el proceso
de configuración de la red en el arranque.

Si te estás metiendo con iptables, es porque estás profundizando tus
conocimientos de GNU/Linux, por lo que las interfaces de configuración
gráficas, no son lo mejor que tienes para aprender.

iptables-persistent es interesante, pero lo mejor, es empezar cada
arranque con todo iptables limpio, y configurarlo línea a línea.

No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te
puede dar una mano.

Saludos.

--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Según mi psicólogo, la culpa es de los padres...

--
JAP

https://wiki.debian.org/es/NormasLista

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Juan Lavieri

Hola.
Ante todo por favor tomen nota que esta intervención no es
una crítica ni algo por el estilo, mas bien veámoslo como una
consulta en la misma corriente de la consulta original.

El 25-10-2017 a las 08:16 a.m., JAP
escribió:

El
24/10/17 a las 22:41, u...@tutanota.de escribió:

Hola, como tuve inconvenientes con iptables-persistent y slim.
El Desktop manager me tarda como 2 minutos en aparecer. Estuve
buscando los metodos para la carga de un script con las reglas
al inicio del sistema. Pero encontré tutoriales con varios años
y no se si todavia sirven para las versiones actuales de Debian.

No se si colocarlo en /etc/network/if-pre-up.d

o en /etc/rc.local

Por favor me podrían recomendar cual es el lugar mas fiable y
seguro en donde colocar el script para Debian 8/9

Gracias, saludos

TODA la bibliografía de iptables recomienda crear las reglas en
/etc/rc.local o colgar un script desde allí.

¿Han tomado el cuenta que la mayor parte de la información sobre
iptables no está totalmente actualizada?

Me explico. Actualmente debian utiliza systemd como sistema de
inicio y según tengo entendido, los scripts colocados en rc.local no
se inician de manera automática.

Esto hace que la mejor manera de manejar el arranque de los
diferentes demonios sea mediante el propio systemd.

Yo personalmente seguí las instruccines que se muestran aquí:

https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/

luego de adaptarlas a mis necesidades.

Desventaja: hay que ir probando de a una en una consola hasta que
funcione como te guste, pues la construcción es a mano. Pero una
vez logras lo que quieres, funciona sin inconvenientes.

Ventaja: al ejecutarse al final de la secuencia de arranque, te
asegurás que todo está funcionando sin inconvenientes. Instalarlas
como ejecución en /etc/network/if-pre-up.d puede hacer que a
veces, no funcione como es debido si has tenido un problema
durante el proceso de configuración de la red en el arranque.

Si te estás metiendo con iptables, es porque estás profundizando
tus conocimientos de GNU/Linux, por lo que las interfaces de
configuración gráficas, no son lo mejor que tienes para aprender.

iptables-persistent es interesante, pero lo mejor, es empezar cada
arranque con todo iptables limpio, y configurarlo línea a línea.

No sé qué es lo que estás queriendo hacer, pero si lo comentas, se
te puede dar una mano.

Saludos.

Saludos.
--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema JAP


El 24/10/17 a las 22:41, u...@tutanota.de escribió:


Hola, como tuve inconvenientes con iptables-persistent y slim.  El 
Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los 
metodos para la carga de un script con las reglas al inicio del sistema. 
Pero encontré tutoriales con varios años y no se si todavia sirven para 
las versiones actuales de Debian.


No se si colocarlo en /etc/network/if-pre-up.d
o en /etc/rc.local

Por favor me podrían recomendar cual es el lugar mas fiable y seguro en 
donde colocar el script para Debian 8/9


Gracias, saludos




TODA la bibliografía de iptables recomienda crear las reglas en 
/etc/rc.local o colgar un script desde allí.


Desventaja: hay que ir probando de a una en una consola hasta que 
funcione como te guste, pues la construcción es a mano. Pero una vez 
logras lo que quieres, funciona sin inconvenientes.


Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás 
que todo está funcionando sin inconvenientes. Instalarlas como ejecución 
en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es 
debido si has tenido un problema durante el proceso de configuración de 
la red en el arranque.


Si te estás metiendo con iptables, es porque estás profundizando tus 
conocimientos de GNU/Linux, por lo que las interfaces de configuración 
gráficas, no son lo mejor que tienes para aprender.


iptables-persistent es interesante, pero lo mejor, es empezar cada 
arranque con todo iptables limpio, y configurarlo línea a línea.


No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te 
puede dar una mano.


Saludos.

--
JAP

https://wiki.debian.org/es/NormasLista

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Mariano Cediel

El 25 de octubre de 2017, 3:41, <u...@tutanota.de> escribió:

>
> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
> para la carga de un script con las reglas al inicio del sistema. Pero
> encontré tutoriales con varios años y no se si todavia sirven para las
> versiones actuales de Debian.
>
> No se si colocarlo en /etc/network/if-pre-up.d
> o en /etc/rc.local
>
> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
> donde colocar el script para Debian 8/9
>
> Gracias, saludos
>
>
>
siempre en /etc/network
entre que se ejecuta el servicio de network y se ejecuta el rc.local (que
es el último), pueden pasar milisegundos o minutos por un atasque de por
medio; y durante ese intervalo tu máquina NO está protegida,


-- 

[o - -  -   --  -
   (\   |  u d t
   (  \_('>  c c s
   (__(=_) s o ?
  -"=

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema OddieX

El día 24 de octubre de 2017, 23:19, Fausto Disla <faus...@gmail.com> escribió:
> Hola,
>
> Me parece que en /etc/rc.local seria lo ideal
>
> Gracias
>
> On Oct 24, 2017 9:41 PM, <u...@tutanota.de> wrote:
>>
>>
>> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
>> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
>> para la carga de un script con las reglas al inicio del sistema. Pero
>> encontré tutoriales con varios años y no se si todavia sirven para las
>> versiones actuales de Debian.
>>
>> No se si colocarlo en /etc/network/if-pre-up.d
>> o en /etc/rc.local
>>
>> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
>> donde colocar el script para Debian 8/9
>>
>> Gracias, saludos
>>
>>
>


Opino igual, en rc.local seria lo mejor, pero si usas debian te
recomiendo usar Shorewall! Una vez que lo usas te olvidas de
iptables...

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema Fausto Disla

Hola,

Me parece que en /etc/rc.local seria lo ideal

Gracias

On Oct 24, 2017 9:41 PM, <u...@tutanota.de> wrote:

>
> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
> para la carga de un script con las reglas al inicio del sistema. Pero
> encontré tutoriales con varios años y no se si todavia sirven para las
> versiones actuales de Debian.
>
> No se si colocarlo en /etc/network/if-pre-up.d
> o en /etc/rc.local
>
> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
> donde colocar el script para Debian 8/9
>
> Gracias, saludos
>
>
>

Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema u-01


Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop 
manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para 
la carga de un script con las reglas al inicio del sistema. Pero encontré 
tutoriales con varios años y no se si todavia sirven para las versiones 
actuales de Debian.
No se si colocarlo en /etc/network/if-pre-up.do en /etc/rc.local
 Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde 
colocar el script para Debian 8/9
Gracias, saludos

Re: de iptables

2017-08-25 Por tema Maykel Franco

El 25 ago. 2017 8:07 p. m., <l...@ida.cu> escribió:

> Ejecuta sólo iptables desde la consola, para ver el resultado y probá
> poner
> todo el camino dentro del scripts de iptables. Lo estás ejecutando como
> root ?
>
> El 25 ago. 2017 14:42, <l...@ida.cu> escribió:
>
>> > Tienes un espacio en blanco después del signo de exclamación.
>> >
>> > #! /bin/bash
>> >
>> > El 25-08-2017 14:03, <l...@ida.cu> escribió:
>> >
>> > Buenas tardes a todos.
>> >
>> > Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura.
>> >
>> > El problema es el siguiente
>> >
>> > Tengo este script:
>> >
>> > #! /bin/bash
>> >
>> > ## wan-etho, LAN-eth1
>> > iptables -F
>> > iptables -X
>> > iptables -Z
>> > ##iptables -t nat -F
>> >
>> > ## Establecemos politica por defecto: DROP!!!
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT DROP
>> > iptables -P FORWARD DROP
>> >
>> > # Permitir todo a localhost (firewall)
>> > iptables -A INPUT -i lo -j ACCEPT
>> > iptables -A OUTPUT -o lo -j ACCEPT
>> >
>> > # Enmascaramiento de la Lan
>> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j
>> MASQUERADE
>> >
>> > #iptables -t nat -P PREROUTING  ACCEPT
>> > #iptables -t nat -P POSTROUTING  ACCEPT
>> >
>> > # Aceptamos que Svr DNS consulten DNS de la WAN
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> >
>> > le doy los permisos
>> >
>> > chmod +x firewall
>> > lo ejecuto:./firewall y como resultado obtengo esto:
>> >
>> > "Interprete erroneo, no existe el fichero o el directorio"
>> >
>> > Y todo esto lo hago en el mismo directorio donde está el fichero.
>> >
>> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C
>> viene
>> en
>> > el sistema pero bueno no C si hay que hacer algo más ??
>> >
>> > Agradezco toda ayuda.
>> >
>>
>> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya.
>>
>> Grcias de todas maneras, pero sigo igual
>>
>>
>

Hola siii comando a comando tecleado desde consola todos funcionaron
perfectamente bien

pero desde el fichero no y no c cual es el problema
 le doy permisos chmod +x firewall y para ejecutarlo
./firewall desde el directorio donde está

La verdad nunca me había pasado esto








bash -x firewall

Re: de iptables

> Ejecuta sÃ³lo iptables desde la consola, para ver el resultado y probÃ¡
> poner
> todo el camino dentro del scripts de iptables. Lo estÃ¡s ejecutando como
> root ?
>
> El 25 ago. 2017 14:42, <l...@ida.cu> escribiÃ³:
>
>> > Tienes un espacio en blanco despuÃ©s del signo de exclamaciÃ³n.
>> >
>> > #! /bin/bash
>> >
>> > El 25-08-2017 14:03, <l...@ida.cu> escribiÃ³:
>> >
>> > Buenas tardes a todos.
>> >
>> > Tengo isntalado debian 7 a 64bit sin grÃ¡ficos, cosola pura.
>> >
>> > El problema es el siguiente
>> >
>> > Tengo este script:
>> >
>> > #! /bin/bash
>> >
>> > ## wan-etho, LAN-eth1
>> > iptables -F
>> > iptables -X
>> > iptables -Z
>> > ##iptables -t nat -F
>> >
>> > ## Establecemos politica por defecto: DROP!!!
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT DROP
>> > iptables -P FORWARD DROP
>> >
>> > # Permitir todo a localhost (firewall)
>> > iptables -A INPUT -i lo -j ACCEPT
>> > iptables -A OUTPUT -o lo -j ACCEPT
>> >
>> > # Enmascaramiento de la Lan
>> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j
>> MASQUERADE
>> >
>> > #iptables -t nat -P PREROUTING  ACCEPT
>> > #iptables -t nat -P POSTROUTING  ACCEPT
>> >
>> > # Aceptamos que Svr DNS consulten DNS de la WAN
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> >
>> > le doy los permisos
>> >
>> > chmod +x firewall
>> > lo ejecuto:./firewall y como resultado obtengo esto:
>> >
>> > "Interprete erroneo, no existe el fichero o el directorio"
>> >
>> > Y todo esto lo hago en el mismo directorio donde estÃ¡ el fichero.
>> >
>> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C
>> viene
>> en
>> > el sistema pero bueno no C si hay que hacer algo mÃ¡s ??
>> >
>> > Agradezco toda ayuda.
>> >
>>
>> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya.
>>
>> Grcias de todas maneras, pero sigo igual
>>
>>
>

Hola siii comando a comando tecleado desde consola todos funcionaron
perfectamente bien

pero desde el fichero no y no c cual es el problema
 le doy permisos chmod +x firewall y para ejecutarlo
./firewall desde el directorio donde está

La verdad nunca me había pasado esto

Re: de iptables

2017-08-25 Por tema JAP


El 25/08/17 a las 14:08, l...@ida.cu escribió:

Buenas tardes a todos.

Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura.

El problema es el siguiente

Tengo este script:

#! /bin/bash

## wan-etho, LAN-eth1
iptables -F
iptables -X
iptables -Z
##iptables -t nat -F

## Establecemos politica por defecto: DROP!!!
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Permitir todo a localhost (firewall)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Enmascaramiento de la Lan
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

#iptables -t nat -P PREROUTING  ACCEPT
#iptables -t nat -P POSTROUTING  ACCEPT

# Aceptamos que Svr DNS consulten DNS de la WAN
iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT

le doy los permisos

 chmod +x firewall
lo ejecuto:./firewall y como resultado obtengo esto:

"Interprete erroneo, no existe el fichero o el directorio"

Y todo esto lo hago en el mismo directorio donde está el fichero.

Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en
el sistema pero bueno no C si hay que hacer algo más ??

Agradezco toda ayuda.







apt-get install bash

JAP

Re: de iptables

> Si estÃ¡s logueado con la cuenta root no deberias tener problemas para
> hacer
> la llamada a iptables. Lo mismo si lo haces con sudo.
>
> Revisa si la cuenta con la cual estÃ¡s haciendo la llamada tenga los
> privilegios de administraciÃ³n correspondientes.
>
>
>
> El 25-08-2017 14:42, <l...@ida.cu> escribiÃ³:
>
>> > Tienes un espacio en blanco despuÃ©s del signo de exclamaciÃ³n.
>> >
>> > #! /bin/bash
>> >
>> > El 25-08-2017 14:03, <l...@ida.cu> escribiÃ³:
>> >
>> > Buenas tardes a todos.
>> >
>> > Tengo isntalado debian 7 a 64bit sin grÃ¡ficos, cosola pura.
>> >
>> > El problema es el siguiente
>> >
>> > Tengo este script:
>> >
>> > #! /bin/bash
>> >
>> > ## wan-etho, LAN-eth1
>> > iptables -F
>> > iptables -X
>> > iptables -Z
>> > ##iptables -t nat -F
>> >
>> > ## Establecemos politica por defecto: DROP!!!
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT DROP
>> > iptables -P FORWARD DROP
>> >
>> > # Permitir todo a localhost (firewall)
>> > iptables -A INPUT -i lo -j ACCEPT
>> > iptables -A OUTPUT -o lo -j ACCEPT
>> >
>> > # Enmascaramiento de la Lan
>> > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j
>> MASQUERADE
>> >
>> > #iptables -t nat -P PREROUTING  ACCEPT
>> > #iptables -t nat -P POSTROUTING  ACCEPT
>> >
>> > # Aceptamos que Svr DNS consulten DNS de la WAN
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j
>> ACCEPT
>> > iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j
>> ACCEPT
>> >
>> > le doy los permisos
>> >
>> > chmod +x firewall
>> > lo ejecuto:./firewall y como resultado obtengo esto:
>> >
>> > "Interprete erroneo, no existe el fichero o el directorio"
>> >
>> > Y todo esto lo hago en el mismo directorio donde estÃ¡ el fichero.
>> >
>> > Alguna idea, tengo que instalar iptables, porque hasta donde yo C
>> viene
>> en
>> > el sistema pero bueno no C si hay que hacer algo mÃ¡s ??
>> >
>> > Agradezco toda ayuda.
>> >
>>
>> Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya.
>>
>> Grcias de todas maneras, pero sigo igual
>>
>>
>

Todo lo hago desde root

Re: de iptables

2017-08-25 Por tema AlexLikeRock

1- sale el permiso de ejecución

chmod +x firewall


Y lo verificas con 
ls -l


2- Ejecutarlo con la ruta completa
Ejemplos;
 /root/./firewall
/home/usuario/./firewall

La siguiente tiene comilla simples
'/alguna otra ruta con espacios/./firewall'

Para ejecutarlo primeropon el punto antes del scrip y aislado en la ruta 
completa

On August 25, 2017 11:47:33 AM GMT-06:00, l...@ida.cu wrote:
>> Tienes un espacio en blanco despuÃ©s del signo de exclamaciÃ³n.
>>
>> #! /bin/bash
>>
>> El 25-08-2017 14:03, <l...@ida.cu> escribiÃ³:
>>
>> Buenas tardes a todos.
>>
>> Tengo isntalado debian 7 a 64bit sin grÃ¡ficos, cosola pura.
>>
>> El problema es el siguiente
>>
>> Tengo este script:
>>
>> #! /bin/bash
>>
>> ## wan-etho, LAN-eth1
>> iptables -F
>> iptables -X
>> iptables -Z
>> ##iptables -t nat -F
>>
>> ## Establecemos politica por defecto: DROP!!!
>> iptables -P INPUT DROP
>> iptables -P OUTPUT DROP
>> iptables -P FORWARD DROP
>>
>> # Permitir todo a localhost (firewall)
>> iptables -A INPUT -i lo -j ACCEPT
>> iptables -A OUTPUT -o lo -j ACCEPT
>>
>> # Enmascaramiento de la Lan
>> iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j
>MASQUERADE
>>
>> #iptables -t nat -P PREROUTING  ACCEPT
>> #iptables -t nat -P POSTROUTING  ACCEPT
>>
>> # Aceptamos que Svr DNS consulten DNS de la WAN
>> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j
>ACCEPT
>> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j
>ACCEPT
>> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j
>ACCEPT
>> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j
>ACCEPT
>>
>> le doy los permisos
>>
>> chmod +x firewall
>> lo ejecuto:./firewall y como resultado obtengo esto:
>>
>> "Interprete erroneo, no existe el fichero o el directorio"
>>
>> Y todo esto lo hago en el mismo directorio donde estÃ¡ el fichero.
>>
>> Alguna idea, tengo que instalar iptables, porque hasta donde yo C
>viene en
>> el sistema pero bueno no C si hay que hacer algo mÃ¡s ??
>>
>> Agradezco toda ayuda.
>>
>
>Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya.
>
>Grcias de todas maneras, pero sigo igual

-- 
Sent from my Android device with K-9 Mail. Please excuse my brevity.

Re: de iptables

> Tienes un espacio en blanco despuÃ©s del signo de exclamaciÃ³n.
>
> #! /bin/bash
>
> El 25-08-2017 14:03, <l...@ida.cu> escribiÃ³:
>
> Buenas tardes a todos.
>
> Tengo isntalado debian 7 a 64bit sin grÃ¡ficos, cosola pura.
>
> El problema es el siguiente
>
> Tengo este script:
>
> #! /bin/bash
>
> ## wan-etho, LAN-eth1
> iptables -F
> iptables -X
> iptables -Z
> ##iptables -t nat -F
>
> ## Establecemos politica por defecto: DROP!!!
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # Permitir todo a localhost (firewall)
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Enmascaramiento de la Lan
> iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
>
> #iptables -t nat -P PREROUTING  ACCEPT
> #iptables -t nat -P POSTROUTING  ACCEPT
>
> # Aceptamos que Svr DNS consulten DNS de la WAN
> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT
>
> le doy los permisos
>
> chmod +x firewall
> lo ejecuto:./firewall y como resultado obtengo esto:
>
> "Interprete erroneo, no existe el fichero o el directorio"
>
> Y todo esto lo hago en el mismo directorio donde estÃ¡ el fichero.
>
> Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en
> el sistema pero bueno no C si hay que hacer algo mÃ¡s ??
>
> Agradezco toda ayuda.
>

Le quite el espacio, sigue el mismo error, ya eso lo habia hehco ya.

Grcias de todas maneras, pero sigo igual

de iptables

Buenas tardes a todos.

Tengo isntalado debian 7 a 64bit sin gráficos, cosola pura.

El problema es el siguiente

Tengo este script:

#! /bin/bash

## wan-etho, LAN-eth1
iptables -F
iptables -X
iptables -Z
##iptables -t nat -F

## Establecemos politica por defecto: DROP!!!
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Permitir todo a localhost (firewall)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Enmascaramiento de la Lan
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

#iptables -t nat -P PREROUTING  ACCEPT
#iptables -t nat -P POSTROUTING  ACCEPT

# Aceptamos que Svr DNS consulten DNS de la WAN
iptables -A FORWARD -s 192.168.10.2 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.2 -i eth0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.7 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.7 -i eth0 -p udp --dport 53 -j ACCEPT

le doy los permisos

chmod +x firewall
lo ejecuto:./firewall y como resultado obtengo esto:

"Interprete erroneo, no existe el fichero o el directorio"

Y todo esto lo hago en el mismo directorio donde está el fichero.

Alguna idea, tengo que instalar iptables, porque hasta donde yo C viene en
el sistema pero bueno no C si hay que hacer algo más ??

Agradezco toda ayuda.

Re: iptables

2017-04-05 Por tema Paynalton

bueno, lo del log es porque en la última línea de tu archivo firewall está
definido el registro:

iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables
denied: " --log-level 7

con comentar esa línea es suficiente para dejar de ver el mensaje.

Ahora bien, el protocolo RIP se usa para que los routers puedan descubrir
nuevas rutas de encaminamiento. Si no deseas usar este sistema y poner
directamente las rutas fijas puedes dejarlo cerrado, por ejemplo si tu
equipo no sirve de gateway a otros miembros de tu red no tiene caso tenerlo
abierto.

Por el contrario si tu equipo actua como router o gateway lo mejor es abrir
el puerto.

El mié., 5 de abr. de 2017 a la(s) 08:14, R Calleja <rcalle...@gmail.com>
escribió:

> Hola Carlos,
> tal vez configurando la red con una ip estatica se solucione, o debor
> abrir el puerto
>
> UDP/520, como dices.
>
> Puedes decirme como se abre el puerto.
>
> Saludos, Roberto.
>
>
>
> El 1/4/17, Carlos Andrés Martín <marcar...@gmail.com> escribió:
> >
> > El 01/04/17 a las 15:34, Aaron D. escribió:
> >> El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió:
> >>> Buenas tardes,
> >>> si alguien puede ayudarme, estoy intentando configurar el sistema mas
> >>> seguro.
> >>> Puse un firewall con iptables y me salen unos bloqueos en los mensajes
> >>> del sistema que no entiendo.
> >>> Pueden verlos en los ficheros adjuntos.
> >>>
> >>> Gracias, Roberto
> >>
> >> Saludos, el log indica que está bloqueando los paquetes enviados al
> >> puerto UDP/520 este puerto normalmente es usado por el protocolo RIP
> >> (Route Information Protocol). En este enlace puedes encontrar más
> >> información sobre dicho protocolo:
> >> https://es.wikipedia.org/wiki/Routing_Information_Protocol
> >>
> >> Para dejar de ver esos avisos en el log, debes abrir dicho puerto.
> >>
> >> Un saludo.
> > Es cierto lo que te dice Aaron D. y te agrego que por la dirección de
> > destino (DST=192.168.1.255), si no me equivoco, se está usando para
> > hacer un broadcast... deberías revisar tu firewall en ese tipo de
> > bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para
> > resolver los DNS... alguno seguramente te podrá dar más información
> > precisa... pero por ahí podés empezar.
> >
> > Suerte!
> >
> > Carlos
> >
> >
>
>

Re: iptables

2017-04-05 Por tema R Calleja

Hola Carlos,
tal vez configurando la red con una ip estatica se solucione, o debor
abrir el puerto

UDP/520, como dices.

Puedes decirme como se abre el puerto.

Saludos, Roberto.



El 1/4/17, Carlos Andrés Martín <marcar...@gmail.com> escribió:
>
> El 01/04/17 a las 15:34, Aaron D. escribió:
>> El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió:
>>> Buenas tardes,
>>> si alguien puede ayudarme, estoy intentando configurar el sistema mas
>>> seguro.
>>> Puse un firewall con iptables y me salen unos bloqueos en los mensajes
>>> del sistema que no entiendo.
>>> Pueden verlos en los ficheros adjuntos.
>>>
>>> Gracias, Roberto
>>
>> Saludos, el log indica que está bloqueando los paquetes enviados al
>> puerto UDP/520 este puerto normalmente es usado por el protocolo RIP
>> (Route Information Protocol). En este enlace puedes encontrar más
>> información sobre dicho protocolo:
>> https://es.wikipedia.org/wiki/Routing_Information_Protocol
>>
>> Para dejar de ver esos avisos en el log, debes abrir dicho puerto.
>>
>> Un saludo.
> Es cierto lo que te dice Aaron D. y te agrego que por la dirección de
> destino (DST=192.168.1.255), si no me equivoco, se está usando para
> hacer un broadcast... deberías revisar tu firewall en ese tipo de
> bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para
> resolver los DNS... alguno seguramente te podrá dar más información
> precisa... pero por ahí podés empezar.
>
> Suerte!
>
> Carlos
>
>

Re: iptables

2017-04-01 Por tema Carlos Andrés Martín



El 01/04/17 a las 15:34, Aaron D. escribió:

El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió:

Buenas tardes,
si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro.
Puse un firewall con iptables y me salen unos bloqueos en los mensajes
del sistema que no entiendo.
Pueden verlos en los ficheros adjuntos.

Gracias, Roberto


Saludos, el log indica que está bloqueando los paquetes enviados al
puerto UDP/520 este puerto normalmente es usado por el protocolo RIP
(Route Information Protocol). En este enlace puedes encontrar más
información sobre dicho protocolo:
https://es.wikipedia.org/wiki/Routing_Information_Protocol

Para dejar de ver esos avisos en el log, debes abrir dicho puerto.

Un saludo.
Es cierto lo que te dice Aaron D. y te agrego que por la dirección de 
destino (DST=192.168.1.255), si no me equivoco, se está usando para 
hacer un broadcast... deberías revisar tu firewall en ese tipo de 
bloqueo. En el caso del destino DST=224.0.0.1 entiendo que se usa para 
resolver los DNS... alguno seguramente te podrá dar más información 
precisa... pero por ahí podés empezar.


Suerte!

Carlos

Re: iptables

2017-04-01 Por tema Aaron D.

El sáb, 01-04-2017 a las 18:18 +, R Calleja escribió:
> Buenas tardes,
> si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro.
> Puse un firewall con iptables y me salen unos bloqueos en los mensajes
> del sistema que no entiendo.
> Pueden verlos en los ficheros adjuntos.
> 
> Gracias, Roberto


Saludos, el log indica que está bloqueando los paquetes enviados al
puerto UDP/520 este puerto normalmente es usado por el protocolo RIP
(Route Information Protocol). En este enlace puedes encontrar más
información sobre dicho protocolo:
https://es.wikipedia.org/wiki/Routing_Information_Protocol

Para dejar de ver esos avisos en el log, debes abrir dicho puerto.

Un saludo.
-- 
Aaron D.

iptables

2017-04-01 Por tema R Calleja

Buenas tardes,
si alguien puede ayudarme, estoy intentando configurar el sistema mas seguro.
Puse un firewall con iptables y me salen unos bloqueos en los mensajes
del sistema que no entiendo.
Pueden verlos en los ficheros adjuntos.

Gracias, Roberto


firewall
Description: Binary data
[ 2423.851042] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1792 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2442.850214] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1794 PROTO=2 
[ 2453.853016] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1795 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2457.851723] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1796 PROTO=2 
[ 2472.851203] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1798 PROTO=2 
[ 2483.852965] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1799 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2502.852157] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1801 PROTO=2 
[ 2513.854905] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1802 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2517.853530] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1804 PROTO=2 
[ 2532.853117] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1805 PROTO=2 
[ 2543.854847] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1806 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2562.854072] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1810 PROTO=2 
[ 2573.856777] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1811 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2577.855439] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1812 PROTO=2 
[ 2592.854997] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1813 PROTO=2 
[ 2603.856738] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1814 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2622.855907] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1816 PROTO=2 
[ 2633.858640] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1817 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2637.857367] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1818 PROTO=2 
[ 2652.856825] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1820 PROTO=2 
[ 2663.858637] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1821 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2682.857801] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1823 PROTO=2 
[ 2693.860517] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1824 PROTO=UDP SPT=520 DPT=520 LEN=72 
[ 2697.859214] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1825 PROTO=2 
[ 2712.858724] iptables denied: IN=eth0 OUT= MAC=01:00:5e:00:00:01:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1826 PROTO=2 
[ 2723.860461] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:50:67:f0:b1:1a:06:08:00 SRC=192.168.1.1 DST=192.168.1.255 LEN=92 TOS=0x00 PREC=0x00 TTL=1 ID=1827 PROTO

Re: Sobre Iptables

2017-03-16 Por tema Dixan

Voy a responder a tu pregunta aunque la respuesta no creo sea la
solucion mas eficiente para el problema que tienes, Cuba tiene 3 AS (BGP)

http://bgp.he.net/AS11960#_prefixes

http://bgp.he.net/AS27725#_prefixes

http://bgp.he.net/AS10569#_prefixes

De ahi puedes sacar los bloques ip que cada AS esta anunciando o bien
manual o algun script que mantenga un archivo de texto actualizado para
el iptables y limitar conexiones solo a ellos en una cadena del
iptables, el problema que vas a enfrentar con esto es que hay muchas
paginas .cu que no estan dentro del los bloques ip asignados a Cuba como
google.com.cu y otras tantas más, es mas practico que montes squid con
la restricción nacional por resolución dns.


Saludos y Suerte


El 16/03/17 a las 19:37, Zeque escribió:
>
> El 03/16/2017 03:27 AM, Dainel Fdezz escribió:
>> No puede ser con proxy, solo conexión directa para que funcione en
>> todos los dispositivos
>> móviles, sí pudiera con squid ya lo tendría hecho, saludos
>>
>> El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com
>> <mailto:elcap...@gmail.com>> escribió:
>>
>> Hola
>>
>> Squid..san google
>>
>> El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com
>> <mailto:dfer...@gmail.com>> escribió:
>>
>> Hola Alguien sabe sí con iptables se puede restringir el
>> acceso a dominios
>> específicos, es decir yo soy cubano y en mi empresa me están
>> pidiendo que monte
>> wifi con navegación Nacional, su fuera con internet sería
>> fácil, le asignara una
>> IP a la wan del router y le diera acceso con Iptables
>> (FORWARD) a esa IP tendría
>> acceso a Internet. La pregunta es cómo hacer eso solo con los
>> sitios .Cu saludos
>>
>
> Estimo que los dominios .cu están todos alojados dentro de Cuba, de
> ser así podrías ver en internet el listado de IPs por país (buscalo
> como geoip txt) y ahí  tendrás los rangos de IPs asociados a cuba para
> permitir el puerto 80/443 solo a esos rangos de Ips
> Espero que te sirva.
>
> Saludos,
>
> Zeque
>



0xBDF54B00.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature

Re: Sobre Iptables

2017-03-16 Por tema Zeque



El 03/16/2017 03:27 AM, Dainel Fdezz escribió:

No puede ser con proxy, solo conexión directa para que funcione en todos los 
dispositivos
móviles, sí pudiera con squid ya lo tendría hecho, saludos

El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com
<mailto:elcap...@gmail.com>> escribió:

Hola

Squid..san google

El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com 
<mailto:dfer...@gmail.com>> escribió:

Hola Alguien sabe sí con iptables se puede restringir el acceso a 
dominios
específicos, es decir yo soy cubano y en mi empresa me están pidiendo 
que monte
wifi con navegación Nacional, su fuera con internet sería fácil, le 
asignara una
IP a la wan del router y le diera acceso con Iptables (FORWARD) a esa 
IP tendría
acceso a Internet. La pregunta es cómo hacer eso solo con los sitios 
.Cu saludos



Estimo que los dominios .cu están todos alojados dentro de Cuba, de ser así podrías ver en 
internet el listado de IPs por país (buscalo como geoip txt) y ahí  tendrás los rangos de 
IPs asociados a cuba para permitir el puerto 80/443 solo a esos rangos de Ips

Espero que te sirva.

Saludos,

Zeque

Re: Sobre Iptables

2017-03-16 Por tema Javier Marcon

El 16/03/17 a las 03:27, Dainel Fdezz escribió:
>
> No puede ser con proxy, solo conexión directa para que funcione en
> todos los dispositivos móviles, sí pudiera con squid ya lo tendría
> hecho, saludos
>
>
Lo mejor sería poner una maquina con Squid a la salida hacia el ISP, que
sea un proxy transparente.

Con iptables podes hacerlo tirando la performance a la basura, porque
normalmente iptables trabaja a nivel de red, pero tenes algunos plugins
de iptables que permiten hacer cosas en la capa de aplicación (como por
ejemplo el modulo string que puede ser usado para analizar el texto de
un paquete para ver si es de un dominio .cu). Si no sabes a que capas me
refiero, podes leer https://es.wikipedia.org/wiki/Modelo_OSI

Saludos,

Javier.

-- 
Eco red Natural.
Venta de productos orgánicos y BPA.
Totalmente naturales.
4742-1581 / 156-424-0793
ecorednatu...@gmail.com

Re: Sobre Iptables

2017-03-16 Por tema JAP


El 16/03/17 a las 03:18, Dainel Fdezz escribió:

Hola Alguien sabe sí con iptables se puede restringir el acceso a
dominios específicos, es decir yo soy cubano y en mi empresa me están
pidiendo que monte wifi con navegación Nacional, su fuera con internet
sería fácil, le asignara una IP a la wan del router y le diera acceso
con Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta
es cómo hacer eso solo con los sitios .Cu saludos



Esto es lo que necesitás  http://www.zeroshell.net/es/

Podrías armarlo a pulmón sobre una Debian, pero ZeroShell ya está 
armado, empaquetado y listo para usar.


JAP

Re: Sobre Iptables

2017-03-16 Por tema MARCELO IGNACIO nigro

Hola

Squid..san google

El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com> escribió:

> Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios
> específicos, es decir yo soy cubano y en mi empresa me están pidiendo que
> monte wifi con navegación Nacional, su fuera con internet sería fácil, le
> asignara una IP a la wan del router y le diera acceso con Iptables
> (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso
> solo con los sitios .Cu saludos
>

Re: Sobre Iptables

2017-03-16 Por tema Dainel Fdezz

No puede ser con proxy, solo conexión directa para que funcione en todos
los dispositivos móviles, sí pudiera con squid ya lo tendría hecho, saludos
El 16/3/2017 2:23 a. m., "MARCELO IGNACIO nigro" <elcap...@gmail.com>
escribió:

> Hola
>
> Squid..san google
>
> El 16/3/2017 3:20, "Dainel Fdezz" <dfer...@gmail.com> escribió:
>
>> Hola Alguien sabe sí con iptables se puede restringir el acceso a
>> dominios específicos, es decir yo soy cubano y en mi empresa me están
>> pidiendo que monte wifi con navegación Nacional, su fuera con internet
>> sería fácil, le asignara una IP a la wan del router y le diera acceso con
>> Iptables (FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo
>> hacer eso solo con los sitios .Cu saludos
>>
>

Sobre Iptables

2017-03-16 Por tema Dainel Fdezz

Hola Alguien sabe sí con iptables se puede restringir el acceso a dominios
específicos, es decir yo soy cubano y en mi empresa me están pidiendo que
monte wifi con navegación Nacional, su fuera con internet sería fácil, le
asignara una IP a la wan del router y le diera acceso con Iptables
(FORWARD) a esa IP tendría acceso a Internet. La pregunta es cómo hacer eso
solo con los sitios .Cu saludos

Re: Duda con iptables

2017-02-21 Por tema Antonio Moreno

El 20/02/17 a las 20:02, Jose Pablo
  Rojas escribió:

  En la otra red también debe hacer el ruteo del
gateway para que conozca esa red.

El 20 de febrero de 2017, 11:28, Matias
  Mucciolo<mmucci...@suteba.org.ar>
  escribió:

On Monday 20 February 2017 10:30:01 Antonio Moreno
wrote:
> Hola, tengo un equipo con squid para dar salida a
internet a varios
> usuarios, todo me funciona perfectamente. El
problema lo tengo cuando
> añado una ruta para acceder a otra red y me
explico.
>
> Red 1 192.168.1.0/24 salida a internet
>
> Red 2 192.168.2.0/24 red de los clientes
>
> Red 3 192.168.250.0/24 red por VPN
>
> Las redes 1 y 2 funcionan perfectamente y los de la
red 2 navegan
> correctamente por internet
>
> Pero cuando meto la red 3, desde la maquina de
squid hago ping a toda la
> red 3, pero cuando lo intento desde cualquiera de
los clientes no llego,
> haciendo un traceroute se me queda en la maquina de
squid, ya que todas
> las maquinas de la red 2 tienen como puerta de
enlace la maquina squid.
>
> Sabriais decirme alguien como solucionar por
iptables el acceso a la red
> 3 desde cualquier usuario de la red 2?
>
> Muchas gracias y saludos
>
>
>
>
> __
> Este correo ha sido escaneado por el Sistema de
Seguridad de Soria Natural.
>
> This email has been scanned by the Soria Natural
Security System.
> __

Buenas

yo usaria tcpdump para ver los paquetes y donde se quedan.
supongo que tenes varias interfaces de red...la red 3
decis que es una vpn pero nunca explicas como esta montada
y que tipo de vpn es..
mucha ayuda sin conocer las reglas del firewall tampoco
podemos
darte ..es muy posible que el firewall(la maquina del squid)
este bloqueando esos paquetes..o tambien existe la
posibilidad
que los clientes de la red 3(atras de la vpn) no sepan como
llegar
a los equipos de la red 2.

pero bueno como te dije mira con tcpdump para ver donde van
los paquetes, si vuelven, etc etc.

saludos
matias.

La verdad es que Matias me has dado una pista de lo que me puede
    pasar y efectivamente lo he arreglado ya, el problema lo tenia en la
ultima regla de iptables, en la que bloqueo todo lo que no sea la
red 2 en el squid, y claro la red 3 no es accesible, por lo tanto he
ampliado el rango a un /16 en lugar de un /24 y ya ha funcionado 

Muchas gracias a todos por la ayuda y en especial a Matias que me ha
encendido la bombilla para caer en la solucion jejeje

Un saludo

__
  Este correo ha sido escaneado por el Sistema de Seguridad de Soria
  Natural.

  This email has been scanned by the Soria Natural Security System.
  ___

__
Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.

This email has been scanned by the Soria Natural Security System.
__

<>

Re: Duda con iptables

2017-02-21 Por tema Antonio Moreno


El 20/02/17 a las 20:25, Ramses escribió:

El 20 de febrero de 2017 10:30:01 CET, Antonio Moreno <anto...@sorianatural.es> 
escribió:

Hola, tengo un equipo con squid para dar salida a internet a varios
usuarios, todo me funciona perfectamente. El problema lo tengo cuando
añado una ruta para acceder a otra red y me explico.

Red 1 192.168.1.0/24 salida a internet

Red 2 192.168.2.0/24 red de los clientes

Red 3 192.168.250.0/24 red por VPN

Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan
correctamente por internet

Pero cuando meto la red 3, desde la maquina de squid hago ping a toda
la
red 3, pero cuando lo intento desde cualquiera de los clientes no
llego,
haciendo un traceroute se me queda en la maquina de squid, ya que todas

las maquinas de la red 2 tienen como puerta de enlace la maquina squid.

Sabriais decirme alguien como solucionar por iptables el acceso a la
red
3 desde cualquier usuario de la red 2?

Muchas gracias y saludos




__
Este correo ha sido escaneado por el Sistema de Seguridad de Soria
Natural.

This email has been scanned by the Soria Natural Security System.
__

Y activar el ip-forwarding creo.

Ya lo tengo activado, pero gracias por la ayuda




Saludos,

Ramses

__
Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.

This email has been scanned by the Soria Natural Security System.
___






__
Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.

This email has been scanned by the Soria Natural Security System.
__<>

Re: Duda con iptables

2017-02-20 Por tema Ramses

El 20 de febrero de 2017 10:30:01 CET, Antonio Moreno <anto...@sorianatural.es> 
escribió:
>Hola, tengo un equipo con squid para dar salida a internet a varios 
>usuarios, todo me funciona perfectamente. El problema lo tengo cuando 
>añado una ruta para acceder a otra red y me explico.
>
>Red 1 192.168.1.0/24 salida a internet
>
>Red 2 192.168.2.0/24 red de los clientes
>
>Red 3 192.168.250.0/24 red por VPN
>
>Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan 
>correctamente por internet
>
>Pero cuando meto la red 3, desde la maquina de squid hago ping a toda
>la 
>red 3, pero cuando lo intento desde cualquiera de los clientes no
>llego, 
>haciendo un traceroute se me queda en la maquina de squid, ya que todas
>
>las maquinas de la red 2 tienen como puerta de enlace la maquina squid.
>
>Sabriais decirme alguien como solucionar por iptables el acceso a la
>red 
>3 desde cualquier usuario de la red 2?
>
>Muchas gracias y saludos
>
>
>
>
>__
>Este correo ha sido escaneado por el Sistema de Seguridad de Soria
>Natural.
>
>This email has been scanned by the Soria Natural Security System.
>__

Y activar el ip-forwarding creo.


Saludos,

Ramses

Re: Duda con iptables

2017-02-20 Por tema Jose Pablo Rojas

En la otra red también debe hacer el ruteo del gateway para que conozca esa
red.

El 20 de febrero de 2017, 11:28, Matias Mucciolo<mmucci...@suteba.org.ar>
escribió:

>
> On Monday 20 February 2017 10:30:01 Antonio Moreno wrote:
> > Hola, tengo un equipo con squid para dar salida a internet a varios
> > usuarios, todo me funciona perfectamente. El problema lo tengo cuando
> > añado una ruta para acceder a otra red y me explico.
> >
> > Red 1 192.168.1.0/24 salida a internet
> >
> > Red 2 192.168.2.0/24 red de los clientes
> >
> > Red 3 192.168.250.0/24 red por VPN
> >
> > Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan
> > correctamente por internet
> >
> > Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la
> > red 3, pero cuando lo intento desde cualquiera de los clientes no llego,
> > haciendo un traceroute se me queda en la maquina de squid, ya que todas
> > las maquinas de la red 2 tienen como puerta de enlace la maquina squid.
> >
> > Sabriais decirme alguien como solucionar por iptables el acceso a la red
> > 3 desde cualquier usuario de la red 2?
> >
> > Muchas gracias y saludos
> >
> >
> >
> >
> > __
> > Este correo ha sido escaneado por el Sistema de Seguridad de Soria
> Natural.
> >
> > This email has been scanned by the Soria Natural Security System.
> > __
>
> Buenas
>
> yo usaria tcpdump para ver los paquetes y donde se quedan.
> supongo que tenes varias interfaces de red...la red 3
> decis que es una vpn pero nunca explicas como esta montada
> y que tipo de vpn es..
> mucha ayuda sin conocer las reglas del firewall tampoco podemos
> darte ..es muy posible que el firewall(la maquina del squid)
> este bloqueando esos paquetes..o tambien existe la posibilidad
> que los clientes de la red 3(atras de la vpn) no sepan como llegar
> a los equipos de la red 2.
>
> pero bueno como te dije mira con tcpdump para ver donde van
> los paquetes, si vuelven, etc etc.
>
> saludos
> matias.
>
>

Re: Duda con iptables

2017-02-20 Por tema Matias Mucciolo

On Monday 20 February 2017 10:30:01 Antonio Moreno wrote:
> Hola, tengo un equipo con squid para dar salida a internet a varios 
> usuarios, todo me funciona perfectamente. El problema lo tengo cuando 
> añado una ruta para acceder a otra red y me explico.
> 
> Red 1 192.168.1.0/24 salida a internet
> 
> Red 2 192.168.2.0/24 red de los clientes
> 
> Red 3 192.168.250.0/24 red por VPN
> 
> Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan 
> correctamente por internet
> 
> Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la 
> red 3, pero cuando lo intento desde cualquiera de los clientes no llego, 
> haciendo un traceroute se me queda en la maquina de squid, ya que todas 
> las maquinas de la red 2 tienen como puerta de enlace la maquina squid.
> 
> Sabriais decirme alguien como solucionar por iptables el acceso a la red 
> 3 desde cualquier usuario de la red 2?
> 
> Muchas gracias y saludos
> 
> 
> 
> 
> __
> Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.
> 
> This email has been scanned by the Soria Natural Security System.
> __

Buenas

yo usaria tcpdump para ver los paquetes y donde se quedan.
supongo que tenes varias interfaces de red...la red 3
decis que es una vpn pero nunca explicas como esta montada
y que tipo de vpn es..
mucha ayuda sin conocer las reglas del firewall tampoco podemos
darte ..es muy posible que el firewall(la maquina del squid)
este bloqueando esos paquetes..o tambien existe la posibilidad
que los clientes de la red 3(atras de la vpn) no sepan como llegar
a los equipos de la red 2.

pero bueno como te dije mira con tcpdump para ver donde van
los paquetes, si vuelven, etc etc.

saludos
matias.

Duda con iptables

2017-02-20 Por tema Antonio Moreno

Hola, tengo un equipo con squid para dar salida a internet a varios 
usuarios, todo me funciona perfectamente. El problema lo tengo cuando 
añado una ruta para acceder a otra red y me explico.


Red 1 192.168.1.0/24 salida a internet

Red 2 192.168.2.0/24 red de los clientes

Red 3 192.168.250.0/24 red por VPN

Las redes 1 y 2 funcionan perfectamente y los de la red 2 navegan 
correctamente por internet


Pero cuando meto la red 3, desde la maquina de squid hago ping a toda la 
red 3, pero cuando lo intento desde cualquiera de los clientes no llego, 
haciendo un traceroute se me queda en la maquina de squid, ya que todas 
las maquinas de la red 2 tienen como puerta de enlace la maquina squid.


Sabriais decirme alguien como solucionar por iptables el acceso a la red 
3 desde cualquier usuario de la red 2?


Muchas gracias y saludos




__
Este correo ha sido escaneado por el Sistema de Seguridad de Soria Natural.

This email has been scanned by the Soria Natural Security System.
__<>

Re: Duda en iptables

2017-02-09 Por tema OddieX

Lo que necesitas es natear y enmascarar las IP que dijise por las IP de
salida...

Hay mucha info por internet dando vuelta, creo que es algo de lo mas
sencillo de hacer con iptables, es mas el caso que te dijo Dixan Rivas
deberia funcionar, y es mas, simplemente con estos 2 comandos deberia
funcionarte:

#Habilitar renvio de paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s (El IP que quieras natear) -j MASQUERADE

Porque no usas shorewall? Es muy bueno, muy completo y bastante facil de
configurar...







El 9 de febrero de 2017, 10:36, Dainel Fdezz <dfer...@gmail.com> escribió:

> Busca el manual que te recomendé yo lo hago con ip privadas poniendo la ip
> del firewall como gateway. Saludos
> El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com> escribió:
>
> Escribe a la lista no a mi y el forward en este caso no se puede usar
> porque las ip internas son privadas tiene que hacer NAT.
>
>
> Saludos
>
>
>
> On 09/02/17 13:24, Dainel Fdezz wrote:
>
> Para lo que quieres hacer se utiliza Forward y funciona genial. Busca en
> internet el manual de iptables de Pello y lo encontrarás todo. Saludos
> El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com> escribió:
>
>>
>>
>> On 07/02/17 19:15, l...@ida.cu wrote:
>>
>>> El 07/02/17 a las 19:24, l...@ida.cu escribió:
>>>>
>>>>> Buenas tardes a todos.
>>>>>
>>>>> Es 1ra vez que uso iptables.
>>>>>
>>>>> Tengo varias PC con estas IP y necesito darles acceso full hacia
>>>>> internet
>>>>>
>>>>> # A estas ip le permitimos todo
>>>>> iptables -A INPUT -s 192.168.101.12 -j ACCEPT
>>>>> iptables -A INPUT -s 192.168.101.13  -j ACCEPT
>>>>> iptables -A INPUT -s 192.168.101.14 -j ACCEPT
>>>>> iptables -A INPUT -s 192.168.101.15  -j ACCEPT
>>>>> iptables -A INPUT -s 192.168.101.16 -j ACCEPT
>>>>>
>>>>> Qué regla puedo escribir para que en vez de todas estas líneas
>>>>> establecerlo con un rango de ip y lograr lo mismo efecto??
>>>>>
>>>>>
>>>>> Me pueden dar una ayudar
>>>>>
>>>>>
>>>>>
>>>>> Saludos, podrías hacerlo con:
>>>> iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16
>>>> -j ACCEPT
>>>>
>>>> --
>>>> Aaron D.
>>>>
>>>> Gracia Aron y a las personas de la lista, perfecto
>>>
>>>
>> Esas reglas le darán permiso a esas ip a conectarse a servicios en ese
>> servidor, para que se puedan conectar a Internet debes habilitar
>> enrutamiento, forward y NAT:
>>
>> IFLAN=eth0
>> IFWAN=eth1
>> permitidos=192.168.101.12-192.168.101.16
>> echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento
>> iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o
>> $IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN
>> iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o
>> $IFWAN -j MASQUERADE #NAT
>>
>>
>> PD: Esto a la OSRI no le va a gustar.
>>
>>
>> Saludos
>>
>>
>

Re: Duda en iptables

2017-02-09 Por tema Dixan Rivas



Creo se esta desviando un poco el tema de la pregunta inicial de igual 
forma solo para aclarar, si haces un forward de un rango ip privado de 
tu LAN ej: 10.x.x.x/8, 172.16.x.x/12, 192.168.x.x/16 hacia Internet no 
vas a tener comunicación porque el proveedor de servicio no aceptara 
esas ip y aunque las aceptara y la reenviara al destino que has 
solicitado no recibirás respuesta porque en las tablas de enrutamiento 
BGP de Internet no existe ruta a esos rangos, así que en algún lugar 
tienes configurado NAT y no lo sabes o usas un proxy transparente.


Saludos

On 09/02/17 13:36, Dainel Fdezz wrote:


Busca el manual que te recomendé yo lo hago con ip privadas poniendo 
la ip del firewall como gateway. Saludos


El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com 
<mailto:dixanri...@gmail.com>> escribió:


Escribe a la lista no a mi y el forward en este caso no se puede
usar porque las ip internas son privadas tiene que hacer NAT.


Saludos



On 09/02/17 13:24, Dainel Fdezz wrote:


Para lo que quieres hacer se utiliza Forward y funciona genial.
Busca en internet el manual de iptables de Pello y lo encontrarás
todo. Saludos

El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com
<mailto:dixanri...@gmail.com>> escribió:



On 07/02/17 19:15, l...@ida.cu <mailto:l...@ida.cu> wrote:

El 07/02/17 a las 19:24, l...@ida.cu
<mailto:l...@ida.cu> escribió:

Buenas tardes a todos.

Es 1ra vez que uso iptables.

Tengo varias PC con estas IP y necesito darles
acceso full hacia
internet

# A estas ip le permitimos todo
iptables -A INPUT -s 192.168.101.12 -j ACCEPT
iptables -A INPUT -s 192.168.101.13  -j ACCEPT
iptables -A INPUT -s 192.168.101.14 -j ACCEPT
iptables -A INPUT -s 192.168.101.15  -j ACCEPT
iptables -A INPUT -s 192.168.101.16 -j ACCEPT

Qué regla puedo escribir para que en vez de todas
estas líneas
establecerlo con un rango de ip y lograr lo mismo
efecto??


Me pueden dar una ayudar



    Saludos, podrías hacerlo con:
iptables -A INPUT -m iprange --src-range
192.168.101.12-192.168.101.16
-j ACCEPT

--
Aaron D.

Gracia Aron y a las personas de la lista, perfecto


Esas reglas le darán permiso a esas ip a conectarse a
servicios en ese servidor, para que se puedan conectar a
Internet debes habilitar enrutamiento, forward y NAT:

IFLAN=eth0
IFWAN=eth1
permitidos=192.168.101.12-192.168.101.16
echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento
iptables -A FORWARD -i $IFLAN -m iprange --src-range
$permitidos -o $IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN
iptables -t nat -A POSTROUTING -m iprange --src-range
$permitidos -o $IFWAN -j MASQUERADE #NAT


PD: Esto a la OSRI no le va a gustar.


Saludos

Re: Duda en iptables

2017-02-09 Por tema Dainel Fdezz

Busca el manual que te recomendé yo lo hago con ip privadas poniendo la ip
del firewall como gateway. Saludos
El 9/2/2017 8:27 a. m., "Dixan Rivas" <dixanri...@gmail.com> escribió:

Escribe a la lista no a mi y el forward en este caso no se puede usar
porque las ip internas son privadas tiene que hacer NAT.


Saludos



On 09/02/17 13:24, Dainel Fdezz wrote:

Para lo que quieres hacer se utiliza Forward y funciona genial. Busca en
internet el manual de iptables de Pello y lo encontrarás todo. Saludos
El 7/2/2017 2:58 p. m., "Dixan Rivas" <dixanri...@gmail.com> escribió:

>
>
> On 07/02/17 19:15, l...@ida.cu wrote:
>
>> El 07/02/17 a las 19:24, l...@ida.cu escribió:
>>>
>>>> Buenas tardes a todos.
>>>>
>>>> Es 1ra vez que uso iptables.
>>>>
>>>> Tengo varias PC con estas IP y necesito darles acceso full hacia
>>>> internet
>>>>
>>>> # A estas ip le permitimos todo
>>>> iptables -A INPUT -s 192.168.101.12 -j ACCEPT
>>>> iptables -A INPUT -s 192.168.101.13  -j ACCEPT
>>>> iptables -A INPUT -s 192.168.101.14 -j ACCEPT
>>>> iptables -A INPUT -s 192.168.101.15  -j ACCEPT
>>>> iptables -A INPUT -s 192.168.101.16 -j ACCEPT
>>>>
>>>> Qué regla puedo escribir para que en vez de todas estas líneas
>>>> establecerlo con un rango de ip y lograr lo mismo efecto??
>>>>
>>>>
>>>> Me pueden dar una ayudar
>>>>
>>>>
>>>>
>>>> Saludos, podrías hacerlo con:
>>> iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16
>>> -j ACCEPT
>>>
>>> --
>>> Aaron D.
>>>
>>> Gracia Aron y a las personas de la lista, perfecto
>>
>>
> Esas reglas le darán permiso a esas ip a conectarse a servicios en ese
> servidor, para que se puedan conectar a Internet debes habilitar
> enrutamiento, forward y NAT:
>
> IFLAN=eth0
> IFWAN=eth1
> permitidos=192.168.101.12-192.168.101.16
> echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento
> iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o $IFWAN
> -j ACCEPT #Reenviar Permitidos de LAN a WAN
> iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o
> $IFWAN -j MASQUERADE #NAT
>
>
> PD: Esto a la OSRI no le va a gustar.
>
>
> Saludos
>
>

Re: Duda en iptables

2017-02-07 Por tema Dixan Rivas




On 07/02/17 19:15, l...@ida.cu wrote:

El 07/02/17 a las 19:24, l...@ida.cu escribió:

Buenas tardes a todos.

Es 1ra vez que uso iptables.

Tengo varias PC con estas IP y necesito darles acceso full hacia
internet

# A estas ip le permitimos todo
iptables -A INPUT -s 192.168.101.12 -j ACCEPT
iptables -A INPUT -s 192.168.101.13  -j ACCEPT
iptables -A INPUT -s 192.168.101.14 -j ACCEPT
iptables -A INPUT -s 192.168.101.15  -j ACCEPT
iptables -A INPUT -s 192.168.101.16 -j ACCEPT

Qué regla puedo escribir para que en vez de todas estas líneas
establecerlo con un rango de ip y lograr lo mismo efecto??


Me pueden dar una ayudar




Saludos, podrías hacerlo con:
iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16
-j ACCEPT

--
Aaron D.


Gracia Aron y a las personas de la lista, perfecto



Esas reglas le darán permiso a esas ip a conectarse a servicios en ese 
servidor, para que se puedan conectar a Internet debes habilitar 
enrutamiento, forward y NAT:


IFLAN=eth0
IFWAN=eth1
permitidos=192.168.101.12-192.168.101.16
echo 1 > /proc/sys/net/ipv4/ip_forward #Habilitar enrutamiento
iptables -A FORWARD -i $IFLAN -m iprange --src-range $permitidos -o 
$IFWAN -j ACCEPT #Reenviar Permitidos de LAN a WAN
iptables -t nat -A POSTROUTING -m iprange --src-range $permitidos -o 
$IFWAN -j MASQUERADE #NAT



PD: Esto a la OSRI no le va a gustar.


Saludos

Re: Duda en iptables

2017-02-07 Por tema luis

> El 07/02/17 a las 19:24, l...@ida.cu escribió:
>> Buenas tardes a todos.
>>
>> Es 1ra vez que uso iptables.
>>
>> Tengo varias PC con estas IP y necesito darles acceso full hacia
>> internet
>>
>> # A estas ip le permitimos todo
>> iptables -A INPUT -s 192.168.101.12 -j ACCEPT
>> iptables -A INPUT -s 192.168.101.13  -j ACCEPT
>> iptables -A INPUT -s 192.168.101.14 -j ACCEPT
>> iptables -A INPUT -s 192.168.101.15  -j ACCEPT
>> iptables -A INPUT -s 192.168.101.16 -j ACCEPT
>>
>> Qué regla puedo escribir para que en vez de todas estas líneas
>> establecerlo con un rango de ip y lograr lo mismo efecto??
>>
>>
>> Me pueden dar una ayudar
>>
>>
>>
>
> Saludos, podrías hacerlo con:
> iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16
> -j ACCEPT
>
> --
> Aaron D.
>

Gracia Aron y a las personas de la lista, perfecto

Re: Duda en iptables

2017-02-07 Por tema Aaron D.


El 07/02/17 a las 19:24, l...@ida.cu escribió:

Buenas tardes a todos.

Es 1ra vez que uso iptables.

Tengo varias PC con estas IP y necesito darles acceso full hacia internet

# A estas ip le permitimos todo
iptables -A INPUT -s 192.168.101.12 -j ACCEPT
iptables -A INPUT -s 192.168.101.13  -j ACCEPT
iptables -A INPUT -s 192.168.101.14 -j ACCEPT
iptables -A INPUT -s 192.168.101.15  -j ACCEPT
iptables -A INPUT -s 192.168.101.16 -j ACCEPT

Qué regla puedo escribir para que en vez de todas estas líneas
establecerlo con un rango de ip y lograr lo mismo efecto??


Me pueden dar una ayudar





Saludos, podrías hacerlo con:
iptables -A INPUT -m iprange --src-range 192.168.101.12-192.168.101.16 
-j ACCEPT


--
Aaron D.

Duda en iptables

2017-02-07 Por tema luis

Buenas tardes a todos.

Es 1ra vez que uso iptables.

Tengo varias PC con estas IP y necesito darles acceso full hacia internet

# A estas ip le permitimos todo
iptables -A INPUT -s 192.168.101.12 -j ACCEPT
iptables -A INPUT -s 192.168.101.13  -j ACCEPT
iptables -A INPUT -s 192.168.101.14 -j ACCEPT
iptables -A INPUT -s 192.168.101.15  -j ACCEPT
iptables -A INPUT -s 192.168.101.16 -j ACCEPT

Qué regla puedo escribir para que en vez de todas estas líneas
establecerlo con un rango de ip y lograr lo mismo efecto??


Me pueden dar una ayudar

Re: duda iptables

2016-10-28 Por tema Zeque




El 10/28/2016 04:18 PM, Romero, Fernando escribió:

Hola como están, consulto por una reglas de iptables

Tengo una regla en la cual denego las conexiones entrantes a todas las ip's 
menos 2 ip's especificas

iptables -P INPUT -j REJECT
iptables -P FORWARD -j REJECT
iptables -A INPUT -s x.x.x.x -j ACCEPT
iptables -A INPUT -s x.x.x.x -j ACCEPT

Las "x.x.x.x" son las ip's a las cuales les permito todo

Y lo que también quiero hacer es permitirle a todas las ip el acceso al ssh que 
lo tengo en otro puerto.
Es decir que las ip's que especifico pueda usar cualquier puerto y cualquier 
servicio y que todas las demás solo se les permita el ssh
Estuve probando alguna reglas pero no me funcionaron.

Gracias y saludos


Hola!

Para activar solo un puerto (EJ ) para que se acceda desde cualquier IP, solo tenés 
que hacer:

iptables -A INPUT --dport  -p tcp -j ACCEPT
También deberías aceptar el tráfico establecido y relacionado.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Recorda que la cadena FORWARD es para el tráfico que pasa de una interfaz a 
otra.

Saludos,

Zeque

duda iptables

2016-10-28 Por tema Romero, Fernando

Hola como están, consulto por una reglas de iptables

Tengo una regla en la cual denego las conexiones entrantes a todas las ip's 
menos 2 ip's especificas

iptables -P INPUT -j REJECT
iptables -P FORWARD -j REJECT
iptables -A INPUT -s x.x.x.x -j ACCEPT
iptables -A INPUT -s x.x.x.x -j ACCEPT

Las "x.x.x.x" son las ip's a las cuales les permito todo

Y lo que también quiero hacer es permitirle a todas las ip el acceso al ssh que 
lo tengo en otro puerto.
Es decir que las ip's que especifico pueda usar cualquier puerto y cualquier 
servicio y que todas las demás solo se les permita el ssh
Estuve probando alguna reglas pero no me funcionaron.

Gracias y saludos

Re: Duda sobre iptables

2016-10-28 Por tema Rodolfo Edgar

El 27/10/16, Frank A Sanches Calzada <frank...@asertec.azcuba.cu> escribió:
> El 2016-10-27 07:48, fernando sainz escribió:
>> 2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada
>> <frank...@asertec.azcuba.cu>:
>>> systemctl status firewall.service
>>> este es el resultado pero la linia 223 esta en blanco no tiene
>>> contenido
>>>
>>> ● firewall.service - LSB: Firewall configuration
>>>Loaded: loaded (/etc/init.d/firewall)
>>>Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52
>>> CDT; 16s
>>> ago
>>>   Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited,
>>> status=2)
>>>
>>> oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223:
>>> error
>>> sintáctico: no se esperaba el final del fichero
>>> oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process
>>> exited,
>>> code=exited status=2
>>> oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
>>> configuration.
>>> oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed
>>> state.
>>>
>>>
>>>
>>> Frank A Sanchez Calzada
>>>
>>> Especialista B en Ciencias Informáticas
>>>
>>> División de Talleres Asertec Holguin
>>>
>>> Jabber: fr...@jabber.asertec.azcuba.cu
>>>
>>> Telf: (024)426446
>>>
>>
>> Hola.
>> Perdón por la intromisión, pero hay algo que se me escapa.
>> (No tengo instalado ningún firewall)
>>
>> (Entiendo que es la versión estable de Debian, Jessie)
>> Hablas de un fichero: /etc/init.d/firewall
>> He buscado con apt-file search a ver que paquete instala ese fichero y
>> no lo encuentro.
>>
>> Salvo que se cree dinámicamente, que no creo, no se de donde sale.
>> A ver si puedes aclararme esta duda.
>>
>> Un saludo.
>>
>> --
>> Fernando.
>
> Si es un scrip personalizado, debian no lo trae por defecto.
> Ahora pruebo moverlo a rc.local y les digo
> Saludos

Aquí tengo un tutorial de como hacer funcionar y ejecutarse en boot
time esas reglas iptables:

https://bitsymasbitsya.blogspot.pe/2015/11/router-domestico-con-debian-8-y.html

> --
> Frank A Sanchez Calzada
>
> Especialista B en Ciencias Informáticas
>
> División de Talleres Asertec Holguin
>
> Jabber: fr...@jabber.asertec.azcuba.cu
>
> Telf: (024)426446
>
>

Re: Duda sobre iptables

2016-10-27 Por tema Frank A Sanches Calzada


El 2016-10-27 07:48, fernando sainz escribió:
2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada 
:

systemctl status firewall.service
este es el resultado pero la linia 223 esta en blanco no tiene 
contenido


● firewall.service - LSB: Firewall configuration
   Loaded: loaded (/etc/init.d/firewall)
   Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 
CDT; 16s

ago
  Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, 
status=2)


oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: 
error

sintáctico: no se esperaba el final del fichero
oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process 
exited,

code=exited status=2
oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
configuration.
oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed 
state.




Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446



Hola.
Perdón por la intromisión, pero hay algo que se me escapa.
(No tengo instalado ningún firewall)

(Entiendo que es la versión estable de Debian, Jessie)
Hablas de un fichero: /etc/init.d/firewall
He buscado con apt-file search a ver que paquete instala ese fichero y
no lo encuentro.

Salvo que se cree dinámicamente, que no creo, no se de donde sale.
A ver si puedes aclararme esta duda.

Un saludo.

--
Fernando.


Si es un scrip personalizado, debian no lo trae por defecto.
Ahora pruebo moverlo a rc.local y les digo
Saludos
--
Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446

Re: Duda sobre iptables

2016-10-27 Por tema Juan Lavieri


Hola.


El 27-10-2016 a las 10:32 a.m., Pablo JIMÉNEZ escribió:

On Thu, Oct 27, 2016 at 07:04:09AM -0500, Rodolfo Edgar wrote:

2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada
<frank...@asertec.azcuba.cu>:

Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo
un problema, el scrip de iptable que tengo me dejo de funcionar me pone
lo siguiente:

Warning: Unit file of firewall.service changed on disk, 'systemctl
daemon-reload' recommended.
Job for firewall.service failed. See 'systemctl status firewall.service'
and 'journalctl -xn' for details.

Saludos


Las cosas han cambiado respecto a las versiones anteriores, mi
recomendación para el firewall y mas si tienes un script personalizado
de iptables es que pongas las reglas y que ejecute desde rc.local, al
final de todo cuando inicia el sistema, asi ya no habrá problemas, yo
lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a
tu script.

En realidad, depende. En servidores Debian, hay varias opciones para
poder hacerlo:

1. Si bien no hay un iptables.service que venga por omisión, no es muy
difícil de configurar.
2. Agregar el script en /etc/rc.local, tal como sugieres.
3. Yo opté por modificar la configuración de la interfaz loopback en
/etc/network/interfaces de la siguiente manera:

auto lo
iface lo inet loopback
up /sbin/iptables-restore /etc/iptables/default.conf

Saludos.
En el mismo sentido que Pablo te indica, aquí hay una forma en la que 
puedes utilizar tus propios scripts sin mucho problema.


http://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/

Saludos



--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Re: Duda sobre iptables

2016-10-27 Por tema Pablo JIMÉNEZ

On Thu, Oct 27, 2016 at 07:04:09AM -0500, Rodolfo Edgar wrote:
> 2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada
> <frank...@asertec.azcuba.cu>:
> > Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo
> > un problema, el scrip de iptable que tengo me dejo de funcionar me pone
> > lo siguiente:
> >
> > Warning: Unit file of firewall.service changed on disk, 'systemctl
> > daemon-reload' recommended.
> > Job for firewall.service failed. See 'systemctl status firewall.service'
> > and 'journalctl -xn' for details.
> >
> > Saludos
> >
> 
> Las cosas han cambiado respecto a las versiones anteriores, mi
> recomendación para el firewall y mas si tienes un script personalizado
> de iptables es que pongas las reglas y que ejecute desde rc.local, al
> final de todo cuando inicia el sistema, asi ya no habrá problemas, yo
> lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a
> tu script.

En realidad, depende. En servidores Debian, hay varias opciones para 
poder hacerlo:

1. Si bien no hay un iptables.service que venga por omisión, no es muy 
   difícil de configurar.
2. Agregar el script en /etc/rc.local, tal como sugieres.
3. Yo opté por modificar la configuración de la interfaz loopback en 
   /etc/network/interfaces de la siguiente manera:

   auto lo
   iface lo inet loopback
   up /sbin/iptables-restore /etc/iptables/default.conf

Saludos.

-- 
Pablo Jiménez

Re: Duda sobre iptables

2016-10-27 Por tema JAP


El 27/10/16 a las 09:48, fernando sainz escribió:

2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada <frank...@asertec.azcuba.cu>:

systemctl status firewall.service
este es el resultado pero la linia 223 esta en blanco no tiene contenido

● firewall.service - LSB: Firewall configuration
   Loaded: loaded (/etc/init.d/firewall)
   Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s
ago
  Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2)

oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error
sintáctico: no se esperaba el final del fichero
oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited,
code=exited status=2
oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
configuration.
oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state.



Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446



Hola.
Perdón por la intromisión, pero hay algo que se me escapa.
(No tengo instalado ningún firewall)

(Entiendo que es la versión estable de Debian, Jessie)
Hablas de un fichero: /etc/init.d/firewall
He buscado con apt-file search a ver que paquete instala ese fichero y
no lo encuentro.

Salvo que se cree dinámicamente, que no creo, no se de donde sale.
A ver si puedes aclararme esta duda.

Un saludo.

--
Fernando.



No, no existe.
Supongo que Frank creó un archivo en  /etc/init.d a la medida para la 
configuración de iptables.
Eso era perfectamente normal en la época de init, pero desde que systemd 
entró en escena, las cosas se complicaron.


Por esos, se recomienda que el script de configuración de iptables se 
cargue sobre rc.local, que como dice el propio archivo


#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

O sea, es lo último que se ejecuta al inicio del sistema.

JAP

Re: Duda sobre iptables

2016-10-27 Por tema fernando sainz

2016-10-26 18:34 GMT+02:00 Frank A Sanches Calzada :
> systemctl status firewall.service
> este es el resultado pero la linia 223 esta en blanco no tiene contenido
>
> ● firewall.service - LSB: Firewall configuration
>Loaded: loaded (/etc/init.d/firewall)
>Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 16s
> ago
>   Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, status=2)
>
> oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: error
> sintáctico: no se esperaba el final del fichero
> oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited,
> code=exited status=2
> oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
> configuration.
> oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed state.
>
>
>
> Frank A Sanchez Calzada
>
> Especialista B en Ciencias Informáticas
>
> División de Talleres Asertec Holguin
>
> Jabber: fr...@jabber.asertec.azcuba.cu
>
> Telf: (024)426446
>

Hola.
Perdón por la intromisión, pero hay algo que se me escapa.
(No tengo instalado ningún firewall)

(Entiendo que es la versión estable de Debian, Jessie)
Hablas de un fichero: /etc/init.d/firewall
He buscado con apt-file search a ver que paquete instala ese fichero y
no lo encuentro.

Salvo que se cree dinámicamente, que no creo, no se de donde sale.
A ver si puedes aclararme esta duda.

Un saludo.

--
Fernando.

Re: Duda sobre iptables

2016-10-27 Por tema JAP


El 26/10/16 a las 13:34, Frank A Sanches Calzada escribió:

systemctl status firewall.service
este es el resultado pero la linia 223 esta en blanco no tiene contenido

● firewall.service - LSB: Firewall configuration
   Loaded: loaded (/etc/init.d/firewall)
   Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT;
16s ago
  Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited,
status=2)

oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223:
error sintáctico: no se esperaba el final del fichero
oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process
exited, code=exited status=2
oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
configuration.
oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed
state.


Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446



Buen día.
Hace unos días tuve algunos problemas con iptables.
Siempre, y aún hoy, prefiero las cosas a la antigua, y uso /etc/rc.local 
para definir las reglas.


Pero como las cosas cambian, echale una mirada a esto:
https://wiki.debian.org/Firewalls
Yo lo que he VISTO usar es ufw y fwbuilder.
Ayuda y simplifica mucho.

Pero no tiene el gustito de pelarse horas con las líneas de comando.

Por otra parte, fijate qué devuelve
# iptables -t nat -L
porque a veces, pareciera que el demonio no está funcionando, y sí lo hace.

JAP

Re: Duda sobre iptables

2016-10-27 Por tema Rodolfo Edgar

2016-10-26 10:46 GMT-05:00, Frank A Sanches Calzada
<frank...@asertec.azcuba.cu>:
> Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo
> un problema, el scrip de iptable que tengo me dejo de funcionar me pone
> lo siguiente:
>
> Warning: Unit file of firewall.service changed on disk, 'systemctl
> daemon-reload' recommended.
> Job for firewall.service failed. See 'systemctl status firewall.service'
> and 'journalctl -xn' for details.
>
> Saludos
>

Las cosas han cambiado respecto a las versiones anteriores, mi
recomendación para el firewall y mas si tienes un script personalizado
de iptables es que pongas las reglas y que ejecute desde rc.local, al
final de todo cuando inicia el sistema, asi ya no habrá problemas, yo
lo hago siempre asi para reglas iptables, en /etc/rc.local ahi llama a
tu script.

>
> --
> Frank A Sanchez Calzada
>
> Especialista B en Ciencias Informáticas
>
> División de Talleres Asertec Holguin
>
> Jabber: fr...@jabber.asertec.azcuba.cu
>
> Telf: (024)426446
>
>

Re: Duda sobre iptables

2016-10-26 Por tema Ricardo Frydman

Claramente te falta leer con atención:
"Warning: Unit file of firewall.service changed on disk,* 'systemctl
daemon-reload' recommended*.
Job for firewall.service failed. See 'systemctl status firewall.service'
and 'journalctl -xn' for details.."

2016-10-26 13:34 GMT-03:00 Frank A Sanches Calzada <
frank...@asertec.azcuba.cu>:

> systemctl status firewall.service
> este es el resultado pero la linia 223 esta en blanco no tiene contenido
>
> ● firewall.service - LSB: Firewall configuration
>Loaded: loaded (/etc/init.d/firewall)
>Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT;
> 16s ago
>   Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited,
> status=2)
>
> oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223:
> error sintáctico: no se esperaba el final del fichero
> oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process exited,
> code=exited status=2
> oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall
> configuration.
> oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed
> state.
>
>
> Frank A Sanchez Calzada
>
> Especialista B en Ciencias Informáticas
>
> División de Talleres Asertec Holguin
>
> Jabber: fr...@jabber.asertec.azcuba.cu
>
> Telf: (024)426446
>
>


-- 
Ricardo A.Frydman
Administrador Aix/Linux - Avantia operadora de tarjetas S.A.
Sun Certified System Administrator - Solaris 10


"Aequam memento rebus in arduis servare mentem"

Duda sobre iptables

2016-10-26 Por tema Frank A Sanches Calzada


systemctl status firewall.service
este es el resultado pero la linia 223 esta en blanco no tiene contenido

● firewall.service - LSB: Firewall configuration
   Loaded: loaded (/etc/init.d/firewall)
   Active: failed (Result: exit-code) since mié 2016-10-26 08:36:52 CDT; 
16s ago
  Process: 1701 ExecStart=/etc/init.d/firewall start (code=exited, 
status=2)


oct 26 08:36:52 Hulk firewall[1701]: /etc/init.d/firewall: línea 223: 
error sintáctico: no se esperaba el final del fichero
oct 26 08:36:52 Hulk systemd[1]: firewall.service: control process 
exited, code=exited status=2
oct 26 08:36:52 Hulk systemd[1]: Failed to start LSB: Firewall 
configuration.
oct 26 08:36:52 Hulk systemd[1]: Unit firewall.service entered failed 
state.



Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446

Re: Duda sobre iptables

2016-10-26 Por tema Ricardo Frydman

Y que sucedió luego que hiciste lo que te recomienda ese mensaje?

2016-10-26 12:46 GMT-03:00 Frank A Sanches Calzada <
frank...@asertec.azcuba.cu>:

> Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo un
> problema, el scrip de iptable que tengo me dejo de funcionar me pone lo
> siguiente:
>
> Warning: Unit file of firewall.service changed on disk, 'systemctl
> daemon-reload' recommended.
> Job for firewall.service failed. See 'systemctl status firewall.service'
> and 'journalctl -xn' for details.
>
> Saludos
>
>
> --
> Frank A Sanchez Calzada
>
> Especialista B en Ciencias Informáticas
>
> División de Talleres Asertec Holguin
>
> Jabber: fr...@jabber.asertec.azcuba.cu
>
> Telf: (024)426446
>
>


-- 
Ricardo A.Frydman
Administrador Aix/Linux - Avantia operadora de tarjetas S.A.
Sun Certified System Administrator - Solaris 10


"Aequam memento rebus in arduis servare mentem"

Duda sobre iptables

2016-10-26 Por tema Frank A Sanches Calzada

Hola lista recientemente upgradie mis serviodores a debian 8 pero tengo 
un problema, el scrip de iptable que tengo me dejo de funcionar me pone 
lo siguiente:


Warning: Unit file of firewall.service changed on disk, 'systemctl 
daemon-reload' recommended.
Job for firewall.service failed. See 'systemctl status firewall.service' 
and 'journalctl -xn' for details.


Saludos


--
Frank A Sanchez Calzada

Especialista B en Ciencias Informáticas

División de Talleres Asertec Holguin

Jabber: fr...@jabber.asertec.azcuba.cu

Telf: (024)426446

Re: systemd e iptables [SOLUCIONADO]


El 21/10/16 a las 12:30, JAP escribió:

El 21/10/16 a las 12:05, Jose Julian Buda escribió:

iptables -t nat -L


Quizas muestre algo.


Saludos

Julian


Muestra mucho :(

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source   destination

Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source   destination
MASQUERADE  all  --  192.168.0.0/24   anywhere



Digamos que lo que sabía de iptables lo voy a tener que reveer.
Entiendo que está tomando las reglas sin problemas, y el tonto he sido
yo, y tengo el problema de conexión por otro lado

JAP




¡SOY EL REY DE LOS IDIOTAS!

El problema no es iptables.
Me olvidé de instalar isc-dhcp-server...

Por eso no tenía acceso a la red...
No era culpa de iptables...


Gracias a todos

JAP

Re: systemd e iptables

2016-10-21 Por tema Javier Marcon

El 21/10/16 a las 12:16, JAP escribió:
> El 21/10/16 a las 11:32, fernando sainz escribió:
>> Mira esto también:
>>
>> http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot
>>
>
> No, el problema no es ese.
> rc.local funciona bien, se ejecuta la inicio sin problemas.
> El tema es que iptables no toma las reglas ni aunque se las indique a
> en forma directa por consola.
>
> # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
>
> # iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source   destination
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source   destination
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source   destination
>
> JAP
>
>
El problema que tenés es que agregas la regla en la tabla nat pero no la
visualizas porque estas leyendo las reglas de otra tabla. Si leyeses las
reglas de la tabla nat (como te especificó Jose), verias la regla. Eso
se soluciona haciéndole caso a las respuestas y sobre todo con RTFM.

Saludos,

Javier.

-- 
El matrimo es tan bueno que la gente se muere por casarse
con mujeres como Nazarena Velez, Margerie Orbin, 
Jordania Linn Graham, Katherine Knight, Stacey Castor, etc.

Re: systemd e iptables


El 21/10/16 a las 12:05, Jose Julian Buda escribió:

iptables -t nat -L


Quizas muestre algo.


Saludos

Julian


Muestra mucho :(

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source   destination

Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source   destination
MASQUERADE  all  --  192.168.0.0/24   anywhere

Tengo que reveer lo poco que sé de iptables.

JAP

Re: systemd e iptables


El 21/10/16 a las 12:05, Jose Julian Buda escribió:

iptables -t nat -L


Quizas muestre algo.


Saludos

Julian


Muestra mucho :(

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source   destination

Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source   destination
MASQUERADE  all  --  192.168.0.0/24   anywhere



Digamos que lo que sabía de iptables lo voy a tener que reveer.
Entiendo que está tomando las reglas sin problemas, y el tonto he sido 
yo, y tengo el problema de conexión por otro lado


JAP

Re: systemd e iptables

2016-10-21 Por tema Felix Perez

El día 21 de octubre de 2016, 10:33, JAP
<javier.debian.bb...@gmail.com> escribió:
> Buenos días.
>
> systemd y la madre que lo programó.
>
> Sigo sufriendo problemas en mi migración de equipo.
> Ahora no sé por qué diablos a iptables se le da por no arrancar.
> No hay forma de iniciar el contrafuegos.
> No encuentro ninguna solución en la red, razón por la que si alguien tiene
> una idea, es bienvenida.
>
> # uname -a
> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64
> GNU/Linux
>
> # systemctl start iptables.service
> Failed to start iptables.service: Unit iptables.service failed to load: No
> such file or directory.
>
>
> # systemctl status iptables
> ● iptables.service
>Loaded: not-found (Reason: No such file or directory)
>Active: inactive (dead)
>

Estás con el último kernel?
Haz probado con otro kernel?

Revisa la wiki de arch,  Tal vez te de luces.
https://wiki.archlinux.org/index.php/iptables

Saludos.

-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Re: systemd e iptables

2016-10-21 Por tema Pablo JIMÉNEZ

On Fri, Oct 21, 2016 at 11:42:53AM -0300, JAP wrote:
> 

[...]

> El script era una línea en /etc/rc.local.
> 
> Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO.
> 
> Si cargo la regla a mano, y luego listo las reglas activas, me aparece que
> iptables está vacío, como se puede ver acá:
> 
> # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
> 
> # iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source   destination
> 
> Chain FORWARD (policy ACCEPT)
> target prot opt source   destination
> 
> Chain OUTPUT (policy ACCEPT)
> target prot opt source   destination
> 
> Como ves, cargo la regla en la línea de comando, y cuando listo las reglas
> activas, no me aparece ninguna.

Eso es por una sola razón: no estás listando la tabla de reglas NAT. El 
manual de iptables(8) lo dice claramente:

  The tables are as follows:

  filter:
  This is the default table (if no -t option is passed). It contains
  the built-in chains INPUT (for packets destined to local sockets),
  FORWARD (for packets being routed through the box), and OUTPUT
  (for locally-generated packets).

  nat:
  This table is consulted when a packet that creates a new
  connection is encountered.  It consists of  three  built- ins:
  PREROUTING  (for  altering  packets as soon as they come in),
  OUTPUT (for altering locally-generated packets before routing),
  and POSTROUTING (for altering packets as they are about to go out).
  IPv6 NAT support  is  avail‐ able since kernel 3.7.

Si quieres ver la regla de NAT que agregaste, debieras ejecutar:

# iptables -t nat -L

Saludos.

-- 
Pablo Jiménez

Re: systemd e iptables


El 21/10/16 a las 11:32, fernando sainz escribió:

Mira esto también:

http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot


No, el problema no es ese.
rc.local funciona bien, se ejecuta la inicio sin problemas.
El tema es que iptables no toma las reglas ni aunque se las indique a en 
forma directa por consola.


# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

JAP

Re: systemd e iptables

2016-10-21 Por tema Jose Julian Buda

On 21/10/16 11:42, JAP wrote:

El 21/10/16 a las 11:18, del tonos escribió:

Asi es como te dice Fernando:

Tenias un script ademas llamado iptables al cual llamabas desde el
sysinit?

Quizás tengas que convertirlo entonces:

https://fedoramagazine.org/systemd-converting-sysvinit-scripts/ <--Va,
no se enojen :), solo es ejemplo!

http://0pointer.de/blog/projects/systemd-for-admins-3.html

Saludos

El 21 de octubre de 2016, 08:58, fernando
sainz<fernandojose.sa...@gmail.com
<mailto:fernandojose.sa...@gmail.com>> escribió:

El día 21 de octubre de 2016, 15:33, JAP
<javier.debian.bb...@gmail.com
<mailto:javier.debian.bb...@gmail.com>> escribió:
> Buenos días.
>
> systemd y la madre que lo programó.
>
> Sigo sufriendo problemas en mi migración de equipo.
> Ahora no sé por qué diablos a iptables se le da por no arrancar.
> No hay forma de iniciar el contrafuegos.
> No encuentro ninguna solución en la red, razón por la que si
alguien tiene
> una idea, es bienvenida.
>
> # uname -a
> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2
(2016-10-19) x86_64
> GNU/Linux
>
> # systemctl start iptables.service
> Failed to start iptables.service: Unit iptables.service failed to
load: No
> such file or directory.
>
>
> # systemctl status iptables
> ● iptables.service
> Loaded: not-found (Reason: No such file or directory)
> Active: inactive (dead)
>
>
> Gracias a todos
>
> JAP
>

Si no recuerdo mal iptables es parte del kernel, no un servicio.

https://es.wikipedia.org/wiki/Netfilter/iptables
<https://es.wikipedia.org/wiki/Netfilter/iptables>
https://wiki.debian.org/es/iptables
<https://wiki.debian.org/es/iptables>

S2.

El script era una línea en /etc/rc.local.

Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO.

Si cargo la regla a mano, y luego listo las reglas activas, me aparece
que iptables está vacío, como se puede ver acá:

# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Como ves, cargo la regla en la línea de comando, y cuando listo las
reglas activas, no me aparece ninguna.

JAP

iptables -t nat -L

Quizas muestre algo.

Saludos

Julian

Re: systemd e iptables


El 21/10/16 a las 11:18, del tonos escribió:

Asi es como te dice Fernando:

Tenias un script ademas llamado iptables al cual llamabas desde el sysinit?

Quizás tengas que convertirlo entonces:

https://fedoramagazine.org/systemd-converting-sysvinit-scripts/   <--Va,
no se enojen :), solo es ejemplo!

http://0pointer.de/blog/projects/systemd-for-admins-3.html


Saludos

El 21 de octubre de 2016, 08:58, fernando
sainz<fernandojose.sa...@gmail.com
<mailto:fernandojose.sa...@gmail.com>> escribió:

El día 21 de octubre de 2016, 15:33, JAP
<javier.debian.bb...@gmail.com
<mailto:javier.debian.bb...@gmail.com>> escribió:
> Buenos días.
>
> systemd y la madre que lo programó.
>
> Sigo sufriendo problemas en mi migración de equipo.
    > Ahora no sé por qué diablos a iptables se le da por no arrancar.
> No hay forma de iniciar el contrafuegos.
> No encuentro ninguna solución en la red, razón por la que si
alguien tiene
> una idea, es bienvenida.
>
> # uname -a
> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2
(2016-10-19) x86_64
> GNU/Linux
>
> # systemctl start iptables.service
> Failed to start iptables.service: Unit iptables.service failed to
load: No
> such file or directory.
>
>
> # systemctl status iptables
> ● iptables.service
>Loaded: not-found (Reason: No such file or directory)
>Active: inactive (dead)
>
>
> Gracias a todos
>
> JAP
>


Si no recuerdo mal iptables es parte del kernel, no un servicio.

https://es.wikipedia.org/wiki/Netfilter/iptables
<https://es.wikipedia.org/wiki/Netfilter/iptables>
https://wiki.debian.org/es/iptables
<https://wiki.debian.org/es/iptables>


S2.




El script era una línea en /etc/rc.local.

Pero sacando eso, el teme es que iptables NO ESTÁ CORRIENDO.

Si cargo la regla a mano, y luego listo las reglas activas, me aparece 
que iptables está vacío, como se puede ver acá:


# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

Como ves, cargo la regla en la línea de comando, y cuando listo las 
reglas activas, no me aparece ninguna.


JAP

Re: systemd e iptables

2016-10-21 Por tema fernando sainz

El día 21 de octubre de 2016, 15:58, fernando sainz
<fernandojose.sa...@gmail.com> escribió:
> El día 21 de octubre de 2016, 15:33, JAP
> <javier.debian.bb...@gmail.com> escribió:
>> Buenos días.
>>
>> systemd y la madre que lo programó.
>>
>> Sigo sufriendo problemas en mi migración de equipo.
>> Ahora no sé por qué diablos a iptables se le da por no arrancar.
>> No hay forma de iniciar el contrafuegos.
>> No encuentro ninguna solución en la red, razón por la que si alguien tiene
>> una idea, es bienvenida.
>>
>> # uname -a
>> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64
>> GNU/Linux
>>
>> # systemctl start iptables.service
>> Failed to start iptables.service: Unit iptables.service failed to load: No
>> such file or directory.
>>
>>
>> # systemctl status iptables
>> ● iptables.service
>>    Loaded: not-found (Reason: No such file or directory)
>>Active: inactive (dead)
>>
>>
>> Gracias a todos
>>
>> JAP
>>
>
>
> Si no recuerdo mal iptables es parte del kernel, no un servicio.
>
> https://es.wikipedia.org/wiki/Netfilter/iptables
> https://wiki.debian.org/es/iptables
>
>
> S2.

Mira esto también:

http://unix.stackexchange.com/questions/209393/debian-8-update-iptables-on-boot

Re: systemd e iptables


El 21/10/16 a las 10:58, fernando sainz escribió:

El día 21 de octubre de 2016, 15:33, JAP
<javier.debian.bb...@gmail.com> escribió:

Buenos días.

systemd y la madre que lo programó.

Sigo sufriendo problemas en mi migración de equipo.
Ahora no sé por qué diablos a iptables se le da por no arrancar.
No hay forma de iniciar el contrafuegos.
No encuentro ninguna solución en la red, razón por la que si alguien tiene
una idea, es bienvenida.

# uname -a
Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64
GNU/Linux

# systemctl start iptables.service
Failed to start iptables.service: Unit iptables.service failed to load: No
such file or directory.


# systemctl status iptables
● iptables.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)


Gracias a todos

JAP




Si no recuerdo mal iptables es parte del kernel, no un servicio.

https://es.wikipedia.org/wiki/Netfilter/iptables
https://wiki.debian.org/es/iptables


S2.




Corrijo mi error entonces.

Por qué cuernos no funciona, si hasta la semana pasada, en otra 
instalación en otro equipo, funcionaba.


# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source   destination

Chain FORWARD (policy ACCEPT)
target prot opt source   destination

Chain OUTPUT (policy ACCEPT)
target prot opt source   destination

# ifconfig

eth1  Link encap:Ethernet  HWaddr a0:f3:c1:01:da:92
  inet addr:192.168.2.52  Bcast:192.168.2.255  Mask:255.255.255.0



wlan0 Link encap:Ethernet  HWaddr 00:87:30:23:0e:a8
  inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

Re: systemd e iptables

2016-10-21 Por tema del tonos

Asi es como te dice Fernando:

Tenias un script ademas llamado iptables al cual llamabas desde el sysinit?

Quizás tengas que convertirlo entonces:

https://fedoramagazine.org/systemd-converting-sysvinit-scripts/   <--Va, no
se enojen :), solo es ejemplo!

http://0pointer.de/blog/projects/systemd-for-admins-3.html


Saludos

El 21 de octubre de 2016, 08:58, fernando sainz<fernandojose.sa...@gmail.com
> escribió:

> El día 21 de octubre de 2016, 15:33, JAP
> <javier.debian.bb...@gmail.com> escribió:
> > Buenos días.
> >
> > systemd y la madre que lo programó.
> >
> > Sigo sufriendo problemas en mi migración de equipo.
> > Ahora no sé por qué diablos a iptables se le da por no arrancar.
> > No hay forma de iniciar el contrafuegos.
> > No encuentro ninguna solución en la red, razón por la que si alguien
> tiene
> > una idea, es bienvenida.
> >
> > # uname -a
> > Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19)
> x86_64
> > GNU/Linux
> >
> > # systemctl start iptables.service
> > Failed to start iptables.service: Unit iptables.service failed to load:
> No
> > such file or directory.
> >
> >
> > # systemctl status iptables
> > ● iptables.service
> >Loaded: not-found (Reason: No such file or directory)
> >Active: inactive (dead)
> >
> >
> > Gracias a todos
> >
> > JAP
> >
>
>
> Si no recuerdo mal iptables es parte del kernel, no un servicio.
>
> https://es.wikipedia.org/wiki/Netfilter/iptables
> https://wiki.debian.org/es/iptables
>
>
> S2.
>
>

Re: systemd e iptables

2016-10-21 Por tema fernando sainz

El día 21 de octubre de 2016, 15:33, JAP
<javier.debian.bb...@gmail.com> escribió:
> Buenos días.
>
> systemd y la madre que lo programó.
>
> Sigo sufriendo problemas en mi migración de equipo.
> Ahora no sé por qué diablos a iptables se le da por no arrancar.
> No hay forma de iniciar el contrafuegos.
> No encuentro ninguna solución en la red, razón por la que si alguien tiene
> una idea, es bienvenida.
>
> # uname -a
> Linux jap 3.16.0-4-amd64 #1 SMP Debian 3.16.36-1+deb8u2 (2016-10-19) x86_64
> GNU/Linux
>
> # systemctl start iptables.service
> Failed to start iptables.service: Unit iptables.service failed to load: No
> such file or directory.
>
>
> # systemctl status iptables
> ● iptables.service
>Loaded: not-found (Reason: No such file or directory)
>Active: inactive (dead)
>
>
> Gracias a todos
>
> JAP
>


Si no recuerdo mal iptables es parte del kernel, no un servicio.

https://es.wikipedia.org/wiki/Netfilter/iptables
https://wiki.debian.org/es/iptables


S2.

systemd e iptables