Re: Compartir Modem

2002-04-22 Por tema Aritz Beraza 
El lun, 22-04-2002 a las 04:36, warlinx99 escribió:
> Hola Lista...
> Como estan todos, bueno mi pregunta es la sig..
> yo en casa tengo un pequeña Red de 3 Pcs.. 2 con Win y una con Linux
> bueno mi intencion es compartir el modem, de la Pc que contiene GNU/Linux y 
>  hacer tipo un servisor de internet, algo parecido a lo que hace el WinGate 
> para Windowz lo que necesito es que me den un par de pistas de como 
> conseguir
>  informacion al respecto o me den una idea como para empezar, o lo que tengo 
> que
>  hacer y esas cosas...
>  Bue... desde ya gracias por su info...
> 
En casa tengo montada una red similar. El ordenador con el modem a la
red usa linux y windows alternativamente. Bajo linux utilizando
iptables. Leete el Masquerading made simple howto para saber como
configurar el kernel. Por ultimo, utilizo el siguiente script. (uso
sencillo: firewall start|stop|restart).

#firewall con iptables

IPTABLES="/sbin/iptables"

case "$1" in
stop)
echo -n "Desactivando el firewall... "
$IPTABLES -F && $IPTABLES -X && $IPTABLES -P 
FORWARD DROP && echo
"DESACTIVADO"
;;

restart|reload)
$0 stop
$0 start
;;

start)
echo -n "Aixecant el firewall... "

IPTABLES="/sbin/iptables"
INETIF=ppp0
INETADDR=`ifconfig ppp0|grep "inet addr:"|cut -d":" -f2|cut -d" " -f1`
echo $INETADDR
NETWBCAST=`echo $INETADDR|cut -d"." -f1,2,3`.255
LANIF=eth0
LANADDR=169.254.111.1
LANRANG=169.254.111.0/24
LANBCAST=169.254.111.255

##Ajustos de sysctl controls which affect tcp/ip
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter #IP Spoof attacks
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/tcp_timestamps #Kill timestamps, comentat a
bugtrack
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians #Martian=pquet amb
adreca impossible

##Reduce DoS'ing ability by reducing timeouts
echo 30   > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0> /proc/sys/net/ipv4/tcp_window_scaling
echo 0> /proc/sys/net/ipv4/tcp_sack

##Comencem de zero
$IPTABLES -F

#Normes basiques (Nota: el que va a forward no passa per input)
#lo conecta al que vulgui
$IPTABLES -A INPUT -i lo -j ACCEPT 

#Paquets al Broadcast
#Vaig començar a classificar-los, però n'hi havia massa, i al final
#simplement els descarto. Nota: també afecta a pings
$IPTABLES -A INPUT -d 255.255.255.255 -j DROP
$IPTABLES -A INPUT -d $NETWBCAST  -j DROP

#No s'ha de conectar al lo des de fora
$IPTABLES -A INPUT -d 127.0.0.0/8 -j DROP 

#Accepta conexions des de la LAN
$IPTABLES -A INPUT -i $LANIF -s $LANRANG -j ACCEPT

#Rebutja qui es faci passar per LAN sense venir de LANIF
$IPTABLES -A INPUT -i $INETIF -s $LANADDR -j DROP

##ICMP
#ping don't forward pings going inside
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -o $LANIF -j
REJECT

#ping flood protection
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

#Allow all other icmp (not BCAST)
$IPTABLES -A INPUT -p icmp -j ACCEPT

##Permetre conexions ja establertes
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INETIF -m state --state ESTABLISHED,RELATED -j
ACCEPT

#Allow ALL other forwarding going
$IPTABLES -A FORWARD -o $INETIF -i $LANIF -j ACCEPT

#Allow replies coming in
$IPTABLES -A FORWARD -i $INETIF -m state --state ESTABLISHED,RELATED -j
ACCEPT

##Intents de conexio - control de floods
#From here on, we're dealing with connection attempts.
#The -m limit is a DoS protection on connects
#First we allow a certain amount of connections per second
#DROP the rest (so we don't DoS ourself with rejections)
#We don't limit normal packets (!syn) by allowing the rest

#Serveis permesos

#Des de tot arreu
$IPTABLES -A INPUT -p tcp -m multiport --destination-port \
ssh,www,https,smtp,auth,3128 -m limit --limit 50/second 
-j ACCEPT 


#X des de casal
#$IPTABLES -A INPUT -p tcp --dport x11-0 -s 147.83.61.17 -j ACCEPT 
#$IPTABLES -A INPUT -p udp --dport x11-0 -s 147.83.61.17 -j ACCEPT 

#Nomes des de la LAN
$IPTABLES -A INPUT -i $LANIF -p tcp -m multiport \
--destination-port netbios-ns,netbios-dgm,netbios-ssn -j ACCEPT
$IPTABLES -A INPUT -i $LANIF -p udp -m multiport \
--destination-port netbios-ns,netbios-dgm,netbios-ssn -j ACCEPT

##Scans de troyans
#Fins ara tenia una linea estil
# $IPTABLES -A INPUT -p tcp --dport 12345 -m limit -j LOG --log-prefix
"Netbus scan"  --log-level 1
# $IPTABLES -A INPUT -p tcp --dport 12345 -j DROP 
#Pero passo. Massa scans. A mes, això es fein

Re: Compartir Modem

2002-04-22 Por tema Javier Fafián Alvarez 
On Sun, Apr 21, 2002 at 11:36:51PM -0300, warlinx99 wrote:
> Hola Lista...
>Como estan todos, bueno mi pregunta es la sig..
> yo en casa tengo un pequeña Red de 3 Pcs.. 2 con Win y una con Linux
> bueno mi intencion es compartir el modem, de la Pc que contiene GNU/Linux y 
> hacer tipo un servisor de internet, algo parecido a lo que hace el WinGate 
> para Windowz lo que necesito es que me den un par de pistas de como 
> conseguir
> informacion al respecto o me den una idea como para empezar, o lo que tengo 
> que
> hacer y esas cosas...
> Bue... desde ya gracias por su info...
> 
Te aconsejo un servidor proxy, squid en concreto y hacer NAT. En los
Howtos viene todo clarito, incluso con un ejemplo en el que sustituyendo
las ips y haciendo un cut and paste (mejor al revés), ya podian salir
todos los pcs a internet.
-- 
Javier Fafián Alvarez   |La vida es aquello que te va sucediendo
Debian/GNU  Linux   |mientras tu te empeñas en hacer otros planes.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Compartir Modem

2002-04-21 Por tema warlinx99 

Hola Lista...
   Como estan todos, bueno mi pregunta es la sig..
yo en casa tengo un pequeña Red de 3 Pcs.. 2 con Win y una con Linux
bueno mi intencion es compartir el modem, de la Pc que contiene GNU/Linux y 
hacer tipo un servisor de internet, algo parecido a lo que hace el WinGate 
para Windowz lo que necesito es que me den un par de pistas de como conseguir

informacion al respecto o me den una idea como para empezar, o lo que tengo que
hacer y esas cosas...
Bue... desde ya gracias por su info...

Pisa
 
---

\-  Federico E. Pereda - Debian GNU/Linux Potato 2.2r5  -/
|- E-mail:  [EMAIL PROTECTED] - [EMAIL PROTECTED] -|
/-  Licq: 154997336 - Linux registered user #271012 -\
---


_
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]