Re: iptables 2
On Sat, May 10, 2003 at 02:12:31PM -0300, Wcom wrote: ok Parece un problema con el orden de las reglas Supongo que 10.129.16.0/24 es tu red interna y 200.68.69.163 tu dmz o similar. Corto las líneas relevantes $IP -A FORWARD -s 10.129.16.0/24 -j ACCEPT $IP -A FORWARD -d 10.129.16.0/24 -j ACCEPT Esto lo que hace es aceptar todo lo que vaya forwardeado de o a tu red. $IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT Y esto otro es para capar el kazaa o similar Si la maquina que genera la petición al kazaa está dentro de tu red la regla de arriba ya la habrá dejado pasar. De todas formas usando un stateful firewall supongo que te sería más fácil y simplificarías un poco todo esto (Usando el -m state --state NEW,INVALID,RELATED,ESTABLISHED) Un saludo -- Celso González (aka PerroVerd) [EMAIL PROTECTED]
Re: iptables 2
ok #!/bin/bash IP='iptables' $IP -F $IP -t nat -F # arranco IP forwarding echo 1 /proc/sys/net/ipv4/ip_forward $IP -t nat -A POSTROUTING -o eth0 -j MASQUERADE $IP -t nat -A POSTROUTING -d ! 10.129.16.0/24 -j MASQUERADE $IP -A FORWARD -s 10.129.16.0/24 -j ACCEPT $IP -A FORWARD -d 10.129.16.0/24 -j ACCEPT $IP -A FORWARD -s ! 10.129.16.0/24 -j DROP $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 20 -j DNAT --to 10.129.16.201:20 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 21 -j DNAT --to 10.129.16.201:21 $IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 21 -j DNAT --to 10.129.16.201:21 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 23 -j DNAT --to 10.129.16.201:23 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 25 -j DNAT --to 10.129.16.201:25 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 53 -j DNAT --to 10.129.16.201:53 $IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 53 -j DNAT --to 10.129.16.201:53 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 80 -j DNAT --to 10.129.16.201:80 $IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 80 -j DNAT --to 10.129.16.201:80 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 110 -j DNAT --to 10.129.16.201:110 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 143 -j DNAT --to 10.129.16.201:143 $IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 5631 -j DNAT --to 10.129.16.201:5631 $IP -A INPUT -i eth0 --protocol udp --source-port 9 -j DROP $IP -A INPUT -i eth0 --protocol udp --destination-port 9 -j DROP $IP -A INPUT -i eth0 --protocol tcp --source-port 9 -j DROP $IP -A INPUT -i eth0 --protocol tcp --destination-port 9 -j DROP $IP -A INPUT -i eth0 --protocol udp --source-port 13 -j DROP $IP -A INPUT -i eth0 --protocol udp --destination-port 13 -j DROP $IP -A INPUT -i eth0 --protocol tcp --source-port 13 -j DROP $IP -A INPUT -i eth0 --protocol tcp --destination-port 13 -j DROP $IP -A INPUT -i eth0 --protocol udp --source-port 37 -j DROP $IP -A INPUT -i eth0 --protocol udp --destination-port 37 -j DROP $IP -A INPUT -i eth0 --protocol tcp --source-port 37 -j DROP $IP -A INPUT -i eth0 --protocol tcp --destination-port 37 -j DROP Esto es lo que agrgue para que no se pueda usar el kazaa y overnet y otras yerbas y no me funciona #ULTIMO $IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT $IP -I FORWARD -p udp --dport 1200:1299 -j REJECT $IP -I FORWARD -p tcp --dport 4600:4700 -j REJECT $IP -I FORWARD -p udp --dport 4600:4700 -j REJECT $IP -A FORWARD -d 213.248.112.0/24 -j DROP $IP -A FORWARD -d 206.142.53.0/24 -j DROP $IP -A INPUT -i eth1 --protocol udp --source-port 1200:1299 -j DROP $IP -A INPUT -i eth1 --protocol udp --destination-port 1200:1299 -j DROP $IP -A INPUT -i eth1 --protocol tcp --source-port 1200:1299 -j DROP $IP -A INPUT -i eth1 --protocol tcp --destination-port 1200:1299 -j DROP $IP -A INPUT -i eth1 --protocol udp --source-port 4600:4700 -j DROP $IP -A INPUT -i eth1 --protocol udp --destination-port 4600:4700 -j DROP $IP -A INPUT -i eth1 --protocol tcp --source-port 4600:4700 -j DROP $IP -A INPUT -i eth1 --protocol tcp --destination-port 4600:4700 -j DROP $IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT $IP -I FORWARD -p udp --dport 1200:1299 -j REJECT $IP -I FORWARD -p tcp --dport 4600:4700 -j REJECT $IP -I FORWARD -p udp --dport 4600:4700 -j REJECT $IP -A FORWARD -d 213.248.112.0/24 -j DROP $IP -A FORWARD -d 206.142.53.0/24 -j DROP $IP -A FORWARD -d 209.25.178.0/24 -j DROP $IP -A FORWARD -d 64.124.41.0/24 -j DROP $IP -A FORWARD -d 209.61.186.0/24 -j DROP $IP -A FORWARD -d 64.49.201.0/24 -j DROP $IP -A FORWARD -d 216.35.208.0/24 -j DROP Sólo el conocimiento nos hace libres - Original Message - From: Celso González [EMAIL PROTECTED] To: Wcom [EMAIL PROTECTED] Cc: debian-user-spanish@lists.debian.org Sent: Friday, May 09, 2003 7:00 PM Subject: Re: iptables 2 On Fri, May 09, 2003 at 03:59:34PM -0300, Wcom wrote: me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de que me morfen el caño. Pastea todo el script de iptables No sabemos si estas haciendo nat, que otras reglas tienes definidas, etc.. Un saludo -- Celso -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables 2
Gente alguien me puede decir como hacer para no permitir el kazza el overnet y esa yerbas para que no funcionen ,...yo puse estas lineas pero sin resultados y me tira este error FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT iptables v1.2.6a: Unknown arg `--dport' Try `iptables -h' or 'iptables --help' for more information. # GNUtella, Bearshare y ToadNode $IP -A FORWARD -p TCP --dport 6346 -j REJECT # eDonkey $IP -A FORWARD -p tcp --dport 4661:4662 -j REJECT $IP -A FORWARD -p udp --dport 4665 -j REJECT # Puertos y redes de Kazaa y Morpheus $IP -A FORWARD --dport 1214 -j REJECT $IP -A FORWARD -d 213.248.112.0/24 -j REJECT $IP -A FORWARD -d 206.142.53.0/24 -j REJECT # Red de Napigator $IP -A FORWARD -d 209.25.178.0/24 -j REJECT # Red de Napster $IP -A FORWARD -d 64.124.41.0/24 -j REJECT # Redes de WinMX $IP -A FORWARD -d 209.61.186.0/24 -j REJECT $IP -A FORWARD -d 64.49.201.0/24 -j REJECT # Red de IMesh $IP -A FORWARD -d 216.35.208.0/24 -j REJECT
Re: iptables 2
Coordenadas temporales: Fri, May 09, 2003 at 12:10:49PM -0300 Sujeto: Wcom Comunicaba sobre: iptables 2 lineas pero sin resultados y me tira este error FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT iptables v1.2.6a: Unknown arg `--dport' Para usar --dport _antes_ tienes que especificar el protocolo. El fallo creo que está en esta linea: # Puertos y redes de Kazaa y Morpheus $IP -A FORWARD --dport 1214 -j REJECT Con lo de mi otro mensaje, debería de funcionar ya bien (creo) Salu2 -- Si su Windows no le dá problemas. ¡Reclame a Microsoft! -- Www.frases.com. pgpq7tqnQOpoe.pgp Description: PGP signature
Re: iptables 2
me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de que me morfen el caño. por favor Sólo el conocimiento nos hace libres - Original Message - From: Emilio Santos [EMAIL PROTECTED] To: Debian.User-Spanish debian-user-spanish@lists.debian.org Sent: Friday, May 09, 2003 12:54 PM Subject: Re: iptables 2
Re: iptables 2
El Viernes, 9 de Mayo de 2003 17:10, Wcom escribió: Gente alguien me puede decir como hacer para no permitir el kazza el overnet y esa yerbas para que no funcionen ,...yo puse estas lineas pero sin resultados y me tira este error FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT iptables v1.2.6a: Unknown arg `--dport' Try `iptables -h' or 'iptables --help' for more information. para usar --dport puerto primero tienes que especificar el protocolo. Los puedes ver en /etc/protocols. Y de la pagina man de iptables -p, --protocol [!] protocol The protocol of the rule or of the packet to check. The specified protocol can be one of tcp, udp, icmp, or all, or it can be a numeric value, representing one of these protocols or a different one. A protocol name from /etc/protocols is also allowed. A ! argument before the protocol inverts the test. The number zero is equivalent to all. Protocol all will match with all protocols and is taken as default when this option is omitted. También mira la sección MATCH EXTENSIONS en la misma pagina man de iptables. Si lo que buscas es filtrar las redes p2p no se como funciona kaza pero edonkey y overnet si cierras los puertos por defecto en cuanto se den cuenta los usuarios los configuraran e otros puertos.
Re: iptables 2
On Fri, May 09, 2003 at 03:59:34PM -0300, Wcom wrote: me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de que me morfen el caño. Pastea todo el script de iptables No sabemos si estas haciendo nat, que otras reglas tienes definidas, etc.. Un saludo -- Celso