El lun, 22-04-2002 a las 04:36, warlinx99 escribió: > Hola Lista... > Como estan todos, bueno mi pregunta es la sig.. > yo en casa tengo un pequeña Red de 3 Pcs.. 2 con Win y una con Linux > bueno mi intencion es compartir el modem, de la Pc que contiene GNU/Linux y > hacer tipo un servisor de internet, algo parecido a lo que hace el WinGate > para Windowz.... lo que necesito es que me den un par de pistas de como > conseguir > informacion al respecto o me den una idea como para empezar, o lo que tengo > que > hacer y esas cosas... > Bue... desde ya gracias por su info... > En casa tengo montada una red similar. El ordenador con el modem a la red usa linux y windows alternativamente. Bajo linux utilizando iptables. Leete el Masquerading made simple howto para saber como configurar el kernel. Por ultimo, utilizo el siguiente script. (uso sencillo: firewall start|stop|restart).
#firewall con iptables IPTABLES="/sbin/iptables" case "$1" in stop) echo -n "Desactivando el firewall... " $IPTABLES -F && $IPTABLES -X && $IPTABLES -P FORWARD DROP && echo "DESACTIVADO" ;; restart|reload) $0 stop $0 start ;; start) echo -n "Aixecant el firewall... " IPTABLES="/sbin/iptables" INETIF=ppp0 INETADDR=`ifconfig ppp0|grep "inet addr:"|cut -d":" -f2|cut -d" " -f1` echo $INETADDR NETWBCAST=`echo $INETADDR|cut -d"." -f1,2,3`.255 LANIF=eth0 LANADDR=169.254.111.1 LANRANG=169.254.111.0/24 LANBCAST=169.254.111.255 ##Ajustos de sysctl controls which affect tcp/ip echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter #IP Spoof attacks echo 1 > /proc/sys/net/ipv4/ip_forward echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 > /proc/sys/net/ipv4/tcp_timestamps #Kill timestamps, comentat a bugtrack echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/conf/all/log_martians #Martian=pquet amb adreca impossible ##Reduce DoS'ing ability by reducing timeouts echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack ##Comencem de zero $IPTABLES -F #Normes basiques (Nota: el que va a forward no passa per input) #lo conecta al que vulgui $IPTABLES -A INPUT -i lo -j ACCEPT #Paquets al Broadcast #Vaig començar a classificar-los, però n'hi havia massa, i al final #simplement els descarto. Nota: també afecta a pings $IPTABLES -A INPUT -d 255.255.255.255 -j DROP $IPTABLES -A INPUT -d $NETWBCAST -j DROP #No s'ha de conectar al lo des de fora $IPTABLES -A INPUT -d 127.0.0.0/8 -j DROP #Accepta conexions des de la LAN $IPTABLES -A INPUT -i $LANIF -s $LANRANG -j ACCEPT #Rebutja qui es faci passar per LAN sense venir de LANIF $IPTABLES -A INPUT -i $INETIF -s $LANADDR -j DROP ##ICMP #ping don't forward pings going inside $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -o $LANIF -j REJECT #ping flood protection $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP #Allow all other icmp (not BCAST) $IPTABLES -A INPUT -p icmp -j ACCEPT ##Permetre conexions ja establertes $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INETIF -m state --state ESTABLISHED,RELATED -j ACCEPT #Allow ALL other forwarding going $IPTABLES -A FORWARD -o $INETIF -i $LANIF -j ACCEPT #Allow replies coming in $IPTABLES -A FORWARD -i $INETIF -m state --state ESTABLISHED,RELATED -j ACCEPT ##Intents de conexio - control de floods #From here on, we're dealing with connection attempts. #The -m limit is a DoS protection on connects #First we allow a certain amount of connections per second #DROP the rest (so we don't DoS ourself with rejections) #We don't limit normal packets (!syn) by allowing the rest #Serveis permesos #Des de tot arreu $IPTABLES -A INPUT -p tcp -m multiport --destination-port \ ssh,www,https,smtp,auth,3128 -m limit --limit 50/second -j ACCEPT #X des de casal #$IPTABLES -A INPUT -p tcp --dport x11-0 -s 147.83.61.17 -j ACCEPT #$IPTABLES -A INPUT -p udp --dport x11-0 -s 147.83.61.17 -j ACCEPT #Nomes des de la LAN $IPTABLES -A INPUT -i $LANIF -p tcp -m multiport \ --destination-port netbios-ns,netbios-dgm,netbios-ssn -j ACCEPT $IPTABLES -A INPUT -i $LANIF -p udp -m multiport \ --destination-port netbios-ns,netbios-dgm,netbios-ssn -j ACCEPT ##Scans de troyans #Fins ara tenia una linea estil # $IPTABLES -A INPUT -p tcp --dport 12345 -m limit -j LOG --log-prefix "Netbus scan" --log-level 1 # $IPTABLES -A INPUT -p tcp --dport 12345 -j DROP #Pero passo. Massa scans. A mes, això es feina del snort, no del fw # Lo mismo pels paquets que no haurien d'arribar (servei tancat) i arriben #$IPTABLES -A INPUT -m limit --limit 5/minute -j LOG --log-prefix "Paquet estrany:" #$IPTABLES -A FORWARD -m limit --limit 5/minute -j LOG --log-prefix "Paquet estrany:" #nota 4=Warning #Traceroutes depend on finding a rejected port. DROP the ones it uses $IPTABLES -A INPUT -p udp --dport 33434:33523 -j DROP ##MASQUERADING #Masquerade internal connections going out. $IPTABLES -A POSTROUTING -t nat -o $INETIF -j MASQUERADE #FINALMENT $IPTABLES -A INPUT -p all -j DROP $IPTABLES -A FORWARD -p all -j DROP #Accept it anyway if it's only output $IPTABLES -A OUTPUT -j ACCEPT ##Finitto! echo "LEVANTADO!!" ;; *) echo "Useage: firewall (start|stop|restart)" exit 1 esac Copias en un archivo, le das permisos de ejecucion ( a root) y lo copias en /usr/sbin/ (bueno estos es lo que hice yo) Espero que te sea de utilidad. (acuerdate de poner la ip de la maquina linux como gateway de las maquinas windows o no funcionará). Aritz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]