subject:"iptables 2"

Re: iptables 2

2003-05-12 Por tema Celso González

On Sat, May 10, 2003 at 02:12:31PM -0300, Wcom wrote:
 ok

Parece un problema con el orden de las reglas
Supongo que 10.129.16.0/24 es tu red interna y 200.68.69.163 tu dmz o 
similar.

Corto las líneas relevantes

 $IP -A FORWARD -s 10.129.16.0/24 -j ACCEPT
 $IP -A FORWARD -d 10.129.16.0/24 -j ACCEPT
Esto lo que hace es aceptar todo lo que vaya forwardeado de o a tu 
red.

 $IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT
Y esto otro es para capar el kazaa o similar

Si la maquina que genera la petición al kazaa está dentro de tu red la 
regla de arriba ya la habrá dejado pasar.

De todas formas usando un stateful firewall supongo que te sería más 
fácil y simplificarías un poco todo esto (Usando el -m state --state 
NEW,INVALID,RELATED,ESTABLISHED)

Un saludo

-- 
Celso González (aka PerroVerd)
[EMAIL PROTECTED]

Re: iptables 2

2003-05-10 Por tema Wcom

ok

#!/bin/bash
IP='iptables'

$IP -F
$IP -t nat -F

# arranco IP forwarding
echo 1  /proc/sys/net/ipv4/ip_forward

$IP -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IP -t nat -A POSTROUTING -d ! 10.129.16.0/24 -j MASQUERADE
$IP -A FORWARD -s 10.129.16.0/24 -j ACCEPT
$IP -A FORWARD -d 10.129.16.0/24 -j ACCEPT
$IP -A FORWARD -s ! 10.129.16.0/24 -j DROP

$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 20 -j DNAT --to
10.129.16.201:20
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 21 -j DNAT --to
10.129.16.201:21
$IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 21 -j DNAT --to
10.129.16.201:21
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 23 -j DNAT --to
10.129.16.201:23
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 25 -j DNAT --to
10.129.16.201:25
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 53 -j DNAT --to
10.129.16.201:53
$IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 53 -j DNAT --to
10.129.16.201:53
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 80 -j DNAT --to
10.129.16.201:80
$IP -A PREROUTING -t nat -p udp -d 200.68.69.163 --dport 80 -j DNAT --to
10.129.16.201:80
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 110 -j DNAT --to
10.129.16.201:110
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 143 -j DNAT --to
10.129.16.201:143
$IP -A PREROUTING -t nat -p tcp -d 200.68.69.163 --dport 5631 -j DNAT --to
10.129.16.201:5631

$IP -A INPUT -i eth0 --protocol udp --source-port 9 -j DROP
$IP -A INPUT -i eth0 --protocol udp --destination-port 9 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --source-port 9 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --destination-port 9 -j DROP
$IP -A INPUT -i eth0 --protocol udp --source-port 13 -j DROP
$IP -A INPUT -i eth0 --protocol udp --destination-port 13 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --source-port 13 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --destination-port 13 -j DROP
$IP -A INPUT -i eth0 --protocol udp --source-port 37 -j DROP
$IP -A INPUT -i eth0 --protocol udp --destination-port 37 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --source-port 37 -j DROP
$IP -A INPUT -i eth0 --protocol tcp --destination-port 37 -j DROP

Esto es lo que agrgue para que no se pueda usar el kazaa y overnet y otras
yerbas y no me funciona
#ULTIMO
$IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT
$IP -I FORWARD -p udp --dport 1200:1299 -j REJECT
$IP -I FORWARD -p tcp --dport 4600:4700 -j REJECT
$IP -I FORWARD -p udp --dport 4600:4700 -j REJECT
$IP -A FORWARD -d 213.248.112.0/24 -j DROP
$IP -A FORWARD -d 206.142.53.0/24 -j DROP
$IP -A INPUT -i eth1 --protocol udp --source-port 1200:1299 -j DROP
$IP -A INPUT -i eth1 --protocol udp --destination-port 1200:1299 -j DROP
$IP -A INPUT -i eth1 --protocol tcp --source-port 1200:1299 -j DROP
$IP -A INPUT -i eth1 --protocol tcp --destination-port 1200:1299 -j DROP
$IP -A INPUT -i eth1 --protocol udp --source-port 4600:4700 -j DROP
$IP -A INPUT -i eth1 --protocol udp --destination-port 4600:4700 -j DROP
$IP -A INPUT -i eth1 --protocol tcp --source-port 4600:4700 -j DROP
$IP -A INPUT -i eth1 --protocol tcp --destination-port 4600:4700 -j DROP
$IP -I FORWARD -p tcp --dport 1200:1299 -j REJECT
$IP -I FORWARD -p udp --dport 1200:1299 -j REJECT
$IP -I FORWARD -p tcp --dport 4600:4700 -j REJECT
$IP -I FORWARD -p udp --dport 4600:4700 -j REJECT
$IP -A FORWARD -d 213.248.112.0/24 -j DROP
$IP -A FORWARD -d 206.142.53.0/24 -j DROP
$IP -A FORWARD -d 209.25.178.0/24 -j DROP
$IP -A FORWARD -d 64.124.41.0/24 -j DROP
$IP -A FORWARD -d 209.61.186.0/24 -j DROP
$IP -A FORWARD -d 64.49.201.0/24 -j DROP
$IP -A FORWARD -d 216.35.208.0/24 -j DROP



Sólo el conocimiento nos hace libres

- Original Message - 
From: Celso González [EMAIL PROTECTED]
To: Wcom [EMAIL PROTECTED]
Cc: debian-user-spanish@lists.debian.org
Sent: Friday, May 09, 2003 7:00 PM
Subject: Re: iptables 2


 On Fri, May 09, 2003 at 03:59:34PM -0300, Wcom wrote:
  me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de
que
  me morfen el caño.

 Pastea todo el script de iptables
 No sabemos si estas haciendo nat, que otras reglas tienes definidas,
 etc..

 Un saludo

 -- 
 Celso


 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

iptables 2

2003-05-09 Por tema Wcom

Gente alguien  me puede decir como hacer para no permitir el kazza el
overnet y esa yerbas para que no funcionen ,...yo puse estas
lineas pero sin resultados y me tira este error

FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT
iptables v1.2.6a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.


# GNUtella, Bearshare y ToadNode
$IP -A FORWARD -p TCP --dport 6346 -j REJECT

# eDonkey
$IP -A FORWARD -p tcp --dport 4661:4662 -j REJECT
$IP -A FORWARD -p udp --dport 4665 -j REJECT

# Puertos y redes de Kazaa y Morpheus
$IP -A FORWARD --dport 1214 -j REJECT
$IP -A FORWARD -d 213.248.112.0/24 -j REJECT
$IP -A FORWARD -d 206.142.53.0/24 -j REJECT

# Red de Napigator
$IP -A FORWARD -d 209.25.178.0/24 -j REJECT

# Red de Napster
$IP -A FORWARD -d 64.124.41.0/24 -j REJECT

# Redes de WinMX
$IP -A FORWARD -d 209.61.186.0/24 -j REJECT
$IP -A FORWARD -d 64.49.201.0/24 -j REJECT

# Red de IMesh
$IP -A FORWARD -d 216.35.208.0/24 -j REJECT

Re: iptables 2

2003-05-09 Por tema Emilio Santos

Coordenadas temporales: Fri, May 09, 2003 at 12:10:49PM -0300
Sujeto: Wcom
Comunicaba sobre: iptables 2

 lineas pero sin resultados y me tira este error
 
 FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT
 iptables v1.2.6a: Unknown arg `--dport'

Para usar --dport _antes_ tienes que especificar el protocolo. El fallo
creo que está en esta linea:

 # Puertos y redes de Kazaa y Morpheus
 $IP -A FORWARD --dport 1214 -j REJECT

Con lo de mi otro mensaje, debería de funcionar ya bien (creo)

Salu2
-- 
Si  su   Windows  no   le  dá  problemas.   ¡Reclame  a   Microsoft!  --
Www.frases.com.


pgpq7tqnQOpoe.pgp
Description: PGP signature

Re: iptables 2

2003-05-09 Por tema Wcom

me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de que
me morfen el caño.

por favor


Sólo el conocimiento nos hace libres

- Original Message - 
From: Emilio Santos [EMAIL PROTECTED]
To: Debian.User-Spanish debian-user-spanish@lists.debian.org
Sent: Friday, May 09, 2003 12:54 PM
Subject: Re: iptables 2

Re: iptables 2

2003-05-09 Por tema Fernando Fernandez

El Viernes, 9 de Mayo de 2003 17:10, Wcom escribió:
 Gente alguien  me puede decir como hacer para no permitir el kazza el
 overnet y esa yerbas para que no funcionen ,...yo puse
 estas lineas pero sin resultados y me tira este error

 FIREWALL-VPM:~# iptables -A FORWARD --dport 1214 -j REJECT
 iptables v1.2.6a: Unknown arg `--dport'
 Try `iptables -h' or 'iptables --help' for more information.


para usar --dport puerto primero tienes que especificar el protocolo. Los 
puedes ver en /etc/protocols. Y de la pagina man de iptables

-p, --protocol [!] protocol
  The protocol of the rule or of the packet to check.  The 
specified protocol  can  be  one  of
  tcp,  udp, icmp, or all, or it can be a numeric value, 
representing one of these protocols or
  a different one.  A protocol name from /etc/protocols is also 
allowed.  A ! argument before
  the  protocol  inverts  the  test.   The number zero is 
equivalent to all.  Protocol all will
  match with all protocols and is taken as default when this 
option is omitted.

También mira la sección MATCH EXTENSIONS en la misma pagina man de iptables. 


Si lo que buscas es filtrar las redes p2p no se como funciona kaza pero 
edonkey y overnet si cierras los puertos por defecto en cuanto se den cuenta 
los usuarios los configuraran e otros puertos.

Re: iptables 2

2003-05-09 Por tema Celso González

On Fri, May 09, 2003 at 03:59:34PM -0300, Wcom wrote:
 me podrias dar una mano que no puedo hacerlo funcar y me tiene loco de que
 me morfen el caño.

Pastea todo el script de iptables
No sabemos si estas haciendo nat, que otras reglas tienes definidas, 
etc..

Un saludo

-- 
Celso

Re: iptables 2

Re: iptables 2

iptables 2

Re: iptables 2

Re: iptables 2

Re: iptables 2

Re: iptables 2

7 matches

Site Navigation

Mail list logo

Footer information