RE: Comportamiento de iptables.
Angel Vicente Perez escribió: Hola a todos Estoy creando reglas con iptables, para limitar el numero de hosts que tienen acceso a internet. Lo primero que hago es autorizar FORWARD de la tabla filter a estos hosts, y al resto dejarlo en DROP. Despues, en la tabla nat, cadena POSTROUTING les activo MASQUERADE, y al resto lo dejo en DROP. Pues esto me funciona para todos menos para uno, que es precisamente el ordenador donde estoy creando las reglas, y que esta autorizado a hacer forwarding y tiene enmascaramiento. Un poco extraño. Ahoro borro todas las reglas de la tabla nat, ya no hay definido MASQUERADing ninguno, solo FORWARDing en la tabla filter y ya funciona todo como tenia previsto. Tengo instalado iptables 1.2.6a-5. ¿Es posible que la cadena FORWARD implique MASQUERADE?, aparentemente es como me esta funcionando. La verdad es que no entiendo muy bien tu problema, pero solo un consejo. Pon una maquina unix al otro lado del firewall y conectate desde uno de dentro con telnet, has un who -a am i y mira desde que maquina te estas conectando, si va por el masquerade aparecera la maquina del firewall, si va por routing aparecera la dirección de la maquina cliente. Hola Creo que ya lo he solucionado, en la tabla nat, cadena POSTROUTING, tenia varias reglas del tipo: -s direccion IP -o eth1 -j MASQUERADE para todas las IPs autorizadas a FORWARDEAR por eth1, incluido la del firewall, y al final tenia puesto -o eth1 -j DROP, para el resto de las IPs, pues bien con esta ultima regla, el firewall no podia salir por eth1, pero solamente el firewall, quitandosela ya funciona como yo queria. Lo que no veo claro es como esta ultima regla afecta solo al firewall. Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Comportamiento de iptables.
HOla, todos menos para uno, que es precisamente el ordenador donde estoy creando las reglas, y que esta autorizado a hacer forwarding y tiene enmascaramiento. Un poco extraño. entonces sale directo via OUTPUT como tienes el OUTPUT? Tienes razon, los paquetes que salen del firewall, no irian por FORWARD, irian por OUTPUT, pero es que en este tengo como politica general ACCEPT. Ahora he probado a meter en FORWARD, todas las IPs autorizada, menos la del firewall, en OUTPUT, nada puesto que la politica general es ACCEPT, y en la tabla nat todas esas IPs incluida la del firewall, y el resultado es que si hago ping desde este a una direccion exterior, obtengo un mensaje de sendto:Operation not permitted. Como ultima regla en FORWARD tengo -o eth1 -j DROP, no se si tendra algo que ver Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Comportamiento de iptables.
Hola a todos Estoy creando reglas con iptables, para limitar el numero de hosts que tienen acceso a internet. Lo primero que hago es autorizar FORWARD de la tabla filter a estos hosts, y al resto dejarlo en DROP. Despues, en la tabla nat, cadena POSTROUTING les activo MASQUERADE, y al resto lo dejo en DROP. Pues esto me funciona para todos menos para uno, que es precisamente el ordenador donde estoy creando las reglas, y que esta autorizado a hacer forwarding y tiene enmascaramiento. Un poco extraño. Ahoro borro todas las reglas de la tabla nat, ya no hay definido MASQUERADing ninguno, solo FORWARDing en la tabla filter y ya funciona todo como tenia previsto. Tengo instalado iptables 1.2.6a-5. ¿Es posible que la cadena FORWARD implique MASQUERADE?, aparentemente es como me esta funcionando. Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Comportamiento de iptables.
HOla, todos menos para uno, que es precisamente el ordenador donde estoy creando las reglas, y que esta autorizado a hacer forwarding y tiene enmascaramiento. Un poco extraño. entonces sale directo via OUTPUT como tienes el OUTPUT? -- Carles Pina i Estany | Nick: Pinux / Pine / Teufeus E-Mail: [EMAIL PROTECTED] / [EMAIL PROTECTED] / [EMAIL PROTECTED] http://www.salleURL.edu/~is08139/ The easiest way to get the root password is to become system admin. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]