Re: Ayuda con netfilter.
O Venres 23 Maio 2008 07:05, Julián Esteban Perconti escribiu: /[...]/ #{idem} #asi que.. iptables -A FORWARD -i ppp0 -j ACCCEPT iptables -A FORWARD -i eth1 -j ACCCEPT iptables -t filter -p tcp --dport tcp 80 -j DROP # NAT # /[...]// / corrijo esta parte por que quedo cualquier cosa..., en el script quedo realmente asi: iptables -t filter -A FORWARD -i ppp0 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 80 -j DROP Ahora si.. y ya que escribo de nuevo.. les cuento que esta pc tiene 2 NIC una al modem ethernet que se conecta con oecnf y la otra al switch. de ahi sale eso de necesito de algun ente que no sea mi hp de mi***da que se encarge de natear y entonces yo pueda filtrar de enserio (es muy dificl natear, filtar, dnsear, proxyar, dhcpear.AAH!! etc.. yo lo pude hacer pero programas con el emule te ca***n la vida. Algun tipo de ayuda.. se nota que no tengo ni idea de iptables/netfiler no??? PD: el mail de arriba me olvide cortarlo y quedo una bomba..., (perdon) Saludos a todos! Hola de nuevo. Te veo un tanto desquiciado XD. Te repito mi consejo de antes: Haz pruebas con un script mínimo que permita el p2p y prohiba todo lo demás, una vez que consigas que funcione pon el resto de reglas. Te resultará máis facil. Aparte, he encontrado unas reglas que te faltan para lo del emule. Permites que desde fuera se conecten a tus clientes emule, pero no permites que tus clientes emule se conecten a clientes de fuera ( o se supone que se conectan hacia fuera a través del squid?). Me refiero a reglas del estilo: iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 pero para el emule. Como normalmente todo el mundo cambia sus puertos del emule, el --dport no te servirá, pero probablemente sí el sport (mi amule hace todas las conexiones desde el mismo puerto). Puedes comprobarlo con netstat. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
El vie, 23-05-2008 a las 02:05 -0300, Julián Esteban Perconti escribió: [...] Ahora si.. y ya que escribo de nuevo.. les cuento que esta pc tiene 2 NIC una al modem ethernet que se conecta con oecnf y la otra al switch. de ahi sale eso de necesito de algun ente que no sea mi hp de mi***da que se encarge de natear y entonces yo pueda filtrar de enserio (es muy dificl natear, filtar, dnsear, proxyar, dhcpear.AAH!! etc.. yo lo pude hacer pero programas con el emule te ca***n la vida. Algun tipo de ayuda.. se nota que no tengo ni idea de iptables/netfiler no??? PD: el mail de arriba me olvide cortarlo y quedo una bomba..., (perdon) Saludos a todos! Hay módulos para iptables para detectar tráfico p2p cómo pp2p que viene con patch-o-matic. También puedes usar Layer7, y te va a servir para detectar mucho más tráfico que pp2p y decidir que hacer con él (mandarlo un queue, dropearlo, reject, etc). Eso sí, para ambos hay que recompilar kernel e iptables. Saludos. Martín -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
Jorge Barreiro Gonzalez escribió: Hola de nuevo. Te veo un tanto desquiciado XD. Te repito mi consejo de antes: Haz pruebas con un script mínimo que permita el p2p y prohiba todo lo demás, una vez que consigas que funcione pon el resto de reglas. Te resultará máis facil. Aparte, he encontrado unas reglas que te faltan para lo del emule. Permites que desde fuera se conecten a tus clientes emule, pero no permites que tus clientes emule se conecten a clientes de fuera ( o se supone que se conectan hacia fuera a través del squid?). Me refiero a reglas del estilo: iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 pero para el emule. Como normalmente todo el mundo cambia sus puertos del emule, el --dport no te servirá, pero probablemente sí el sport (mi amule hace todas las conexiones desde el mismo puerto). Puedes comprobarlo con netstat. Saludos. Hola, esas reglas estuvieron, lo que pasa es que yo envie el script como lo tuve que dejasr para que la cosa funcione, es decir.. una de las pruebas que recuerdo haber hecho fue: por ejemplo para mi maquina (192.168.0.2) ##(nat) iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000 -j DNAT --to 192.168.0.2:2000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 2010 -j DNAT --to 192.168.0.2:2010 ##(foraward, politica defecto drop) iptables -t filter -A FORWARD -i eth1 -p tcp --dport 2000 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -p udp --dport 2010 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 2000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 2010 -j ACCEPT [Repito, con estas reglas mi emule daba ID BAJA. y los puertos que tengo en mi emule son el 2000/TCP y 2010 UDP] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
O Domingo 25 Maio 2008 21:21, Julián Esteban Perconti escribiu: Jorge Barreiro Gonzalez escribió: Hola de nuevo. Te veo un tanto desquiciado XD. Te repito mi consejo de antes: Haz pruebas con un script mínimo que permita el p2p y prohiba todo lo demás, una vez que consigas que funcione pon el resto de reglas. Te resultará máis facil. Aparte, he encontrado unas reglas que te faltan para lo del emule. Permites que desde fuera se conecten a tus clientes emule, pero no permites que tus clientes emule se conecten a clientes de fuera ( o se supone que se conectan hacia fuera a través del squid?). Me refiero a reglas del estilo: iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 pero para el emule. Como normalmente todo el mundo cambia sus puertos del emule, el --dport no te servirá, pero probablemente sí el sport (mi amule hace todas las conexiones desde el mismo puerto). Puedes comprobarlo con netstat. Saludos. Hola, esas reglas estuvieron, lo que pasa es que yo envie el script como lo tuve que dejasr para que la cosa funcione, es decir.. una de las pruebas que recuerdo haber hecho fue: por ejemplo para mi maquina (192.168.0.2) ##(nat) iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000 -j DNAT --to 192.168.0.2:2000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 2010 -j DNAT --to 192.168.0.2:2010 ##(foraward, politica defecto drop) iptables -t filter -A FORWARD -i eth1 -p tcp --dport 2000 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -p udp --dport 2010 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 2000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 2010 -j ACCEPT [Repito, con estas reglas mi emule daba ID BAJA. y los puertos que tengo en mi emule son el 2000/TCP y 2010 UDP] Ya, pero pones, en las reglas de salida, como puerto destino el 2000 y 2010. Esos son los puertos de los emules remotos a los que te quieres conectar. Y cada uno puede (y suele) poner los puertos que les vengan en gana, con lo que tu emule sólo se podría conectar con otros emules que tengan como puertos el 2000 y 2010. (y aquí me remito al último párrafo de mi anterior respuesta). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
Julián Esteban Perconti escreveu: Julián Esteban Perconti escribió: Jorge Barreiro Gonzalez escribió: No mandes mensajes a los privados. Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. La tabla 'nat' siempre se recorre antes que la tabla 'filter' así que con respecto a eso creo que el orden dará igual. No sé porqué te sigue fallando, pero sin duda los tiros tienen que ir por ahí. Tienes muchas reglas puestas; yo que tu haría pruebas con las mínimas para hacer lo del emule y comprobar que funciona. Comprueba que las ips y puertos que indicas son las que hay configuradas. Si funciona en solitario pero no en el script grande, vete añadiendo las que pudiesen estar fastidiando el asunto y así detectar el problema. Encontré el tema del ftp. Para que --state ESTABLISHED, RELATED identifique las conexiones que corresponde al ftp tienes que cargar el módulo ip_conntrack_ftp (modprobe ip_conntrack_ftp). Saludos. Ok, ya me di cuenta como es el tema de los privados! perdon a todos. Bueno para aprovechar el mail les cuento que el script quedó así: #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter
Re: Ayuda con netfilter.
Julián Esteban Perconti escribió: Jorge Barreiro Gonzalez escribió: No mandes mensajes a los privados. Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. La tabla 'nat' siempre se recorre antes que la tabla 'filter' así que con respecto a eso creo que el orden dará igual. No sé porqué te sigue fallando, pero sin duda los tiros tienen que ir por ahí. Tienes muchas reglas puestas; yo que tu haría pruebas con las mínimas para hacer lo del emule y comprobar que funciona. Comprueba que las ips y puertos que indicas son las que hay configuradas. Si funciona en solitario pero no en el script grande, vete añadiendo las que pudiesen estar fastidiando el asunto y así detectar el problema. Encontré el tema del ftp. Para que --state ESTABLISHED, RELATED identifique las conexiones que corresponde al ftp tienes que cargar el módulo ip_conntrack_ftp (modprobe ip_conntrack_ftp). Saludos. Ok, ya me di cuenta como es el tema de los privados! perdon a todos. Bueno para aprovechar el mail les cuento que el script quedó así: #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport
Re: Ayuda con netfilter.
/[...]/ #{idem} #asi que.. iptables -A FORWARD -i ppp0 -j ACCCEPT iptables -A FORWARD -i eth1 -j ACCCEPT iptables -t filter -p tcp --dport tcp 80 -j DROP # NAT # /[...]// / corrijo esta parte por que quedo cualquier cosa..., en el script quedo realmente asi: iptables -t filter -A FORWARD -i ppp0 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 80 -j DROP Ahora si.. y ya que escribo de nuevo.. les cuento que esta pc tiene 2 NIC una al modem ethernet que se conecta con oecnf y la otra al switch. de ahi sale eso de necesito de algun ente que no sea mi hp de mi***da que se encarge de natear y entonces yo pueda filtrar de enserio (es muy dificl natear, filtar, dnsear, proxyar, dhcpear.AAH!! etc.. yo lo pude hacer pero programas con el emule te ca***n la vida. Algun tipo de ayuda.. se nota que no tengo ni idea de iptables/netfiler no??? PD: el mail de arriba me olvide cortarlo y quedo una bomba..., (perdon) Saludos a todos! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
Julián Esteban Perconti escribió: Hola listeros, recurro a ustedes por el suiguiente motivo: tengo una maquina debian como router, con el siguiente script.. #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD *DROP* iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # *iptables -t filter -A FORWARD -j ACCEPT* iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT #SMTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 143 -j ACCEPT #IMAP4 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 989:990 -j ACCEPT #FTPS iptables -t filter -A FORWARD -i eth1 -p tcp --dport 993 -j ACCEPT #IMAP4S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT #POP3S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 465 -j ACCEPT #SMTPS # NAT # # TEGNet iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5479 -j DNAT --to 192.168.0.2:5479 # BitTorrent #iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport ? -j DNAT --to 192.168.0.2:? # eMule's iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000 -j DNAT --to 192.168.0.2:2000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 2010 -j DNAT --to 192.168.0.2:2010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3000 -j DNAT --to 192.168.0.3:3000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 3010 -j DNAT --to 192.168.0.3:3010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to 192.168.0.4:4000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4010 -j DNAT --to 192.168.0.4:4010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000 -j DNAT --to 192.168.0.5:5000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5010 -j DNAT --to 192.168.0.5:5010 # SQUID iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --sport 80 -j REDIRECT --to-port 3128 *iptables -t filter
Re: Ayuda con netfilter.
O Mércores 21 Maio 2008 19:15, Julián Esteban Perconti escribiu: Hola listeros, recurro a ustedes por el suiguiente motivo: tengo una maquina debian como router, con el siguiente script.. #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD *DROP* iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # *iptables -t filter -A FORWARD -j ACCEPT* iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT #SMTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 143 -j ACCEPT #IMAP4 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 989:990 -j ACCEPT #FTPS iptables -t filter -A FORWARD -i eth1 -p tcp --dport 993 -j ACCEPT #IMAP4S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT #POP3S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 465 -j ACCEPT #SMTPS # NAT # # TEGNet iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5479 -j DNAT --to 192.168.0.2:5479 # BitTorrent #iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport ? -j DNAT --to 192.168.0.2:? # eMule's iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000 -j DNAT --to 192.168.0.2:2000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 2010 -j DNAT --to 192.168.0.2:2010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3000 -j DNAT --to 192.168.0.3:3000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 3010 -j DNAT --to 192.168.0.3:3010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to 192.168.0.4:4000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4010 -j DNAT --to 192.168.0.4:4010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000 -j DNAT --to 192.168.0.5:5000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5010 -j DNAT --to 192.168.0.5:5010 # SQUID iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port
Re: Ayuda con netfilter.
Jorge Barreiro Gonzalez escribió: O Mércores 21 Maio 2008 19:15, Julián Esteban Perconti escribiu: Hola listeros, recurro a ustedes por el suiguiente motivo: tengo una maquina debian como router, con el siguiente script.. #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD *DROP* iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --sport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # *iptables -t filter -A FORWARD -j ACCEPT* iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT #SMTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT #POP3 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 143 -j ACCEPT #IMAP4 iptables -t filter -A FORWARD -i eth1 -p tcp --dport 989:990 -j ACCEPT #FTPS iptables -t filter -A FORWARD -i eth1 -p tcp --dport 993 -j ACCEPT #IMAP4S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT #POP3S iptables -t filter -A FORWARD -i eth1 -p tcp --dport 465 -j ACCEPT #SMTPS # NAT # # TEGNet iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5479 -j DNAT --to 192.168.0.2:5479 # BitTorrent #iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport ? -j DNAT --to 192.168.0.2:? # eMule's iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000 -j DNAT --to 192.168.0.2:2000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 2010 -j DNAT --to 192.168.0.2:2010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3000 -j DNAT --to 192.168.0.3:3000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 3010 -j DNAT --to 192.168.0.3:3010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to 192.168.0.4:4000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4010 -j DNAT --to 192.168.0.4:4010 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000 -j DNAT --to 192.168.0.5:5000 iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5010 -j DNAT --to 192.168.0.5:5010 # SQUID iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --sport 80 -j
Re: Ayuda con netfilter.
No mandes mensajes a los privados. Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. La tabla 'nat' siempre se recorre antes que la tabla 'filter' así que con respecto a eso creo que el orden dará igual. No sé porqué te sigue fallando, pero sin duda los tiros tienen que ir por ahí. Tienes muchas reglas puestas; yo que tu haría pruebas con las mínimas para hacer lo del emule y comprobar que funciona. Comprueba que las ips y puertos que indicas son las que hay configuradas. Si funciona en solitario pero no en el script grande, vete añadiendo las que pudiesen estar fastidiando el asunto y así detectar el problema. Encontré el tema del ftp. Para que --state ESTABLISHED, RELATED identifique las conexiones que corresponde al ftp tienes que cargar el módulo ip_conntrack_ftp (modprobe ip_conntrack_ftp). Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re: Ayuda con netfilter.
Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
Jorge Barreiro Gonzalez escribió: No mandes mensajes a los privados. Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. La tabla 'nat' siempre se recorre antes que la tabla 'filter' así que con respecto a eso creo que el orden dará igual. No sé porqué te sigue fallando, pero sin duda los tiros tienen que ir por ahí. Tienes muchas reglas puestas; yo que tu haría pruebas con las mínimas para hacer lo del emule y comprobar que funciona. Comprueba que las ips y puertos que indicas son las que hay configuradas. Si funciona en solitario pero no en el script grande, vete añadiendo las que pudiesen estar fastidiando el asunto y así detectar el problema. Encontré el tema del ftp. Para que --state ESTABLISHED, RELATED identifique las conexiones que corresponde al ftp tienes que cargar el módulo ip_conntrack_ftp (modprobe ip_conntrack_ftp). Saludos. Bueno gracias, perdon por lo del privado, yo simplemente puse responder ni bien llego el email, como hago para no cortar el hilo? tengo responder y cambiar el destinatario a la lista? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Ayuda con netfilter.
Jorge Barreiro Gonzalez escribió: No mandes mensajes a los privados. Hola Jorge Gracias de antemano, te cuento que probe con la regla iptables -t filter -A FORWARD -i ppp0 -p tcp --dport 5000 -j ACCEPT iptables -t filter -A FORWARD -i ppp0 -p udp --dport 5010 -j ACCEPT y el emule no tuvoi exito, pero es evidente, que la mano viene por la cadena FORWARD, tanto del prerout. como el tema del FTP. ya que si hago que forward deje pasar todo, me anda tanto el emule como ftp.. Yo no sabia que las tablas de nat se relacionaban con las tablas forward. Segire intentando, Muchas gracias por la ayuda!! Ah.. una duda que me queda, debido a que iptables es secuencial, segun tengo entendido., estas reglas que mecionas deberian ir antes o despes que las tablas de nat..? yo probe poniendolas antes que las de nat..ahora voy a probar poniendolas despues. Saludos. La tabla 'nat' siempre se recorre antes que la tabla 'filter' así que con respecto a eso creo que el orden dará igual. No sé porqué te sigue fallando, pero sin duda los tiros tienen que ir por ahí. Tienes muchas reglas puestas; yo que tu haría pruebas con las mínimas para hacer lo del emule y comprobar que funciona. Comprueba que las ips y puertos que indicas son las que hay configuradas. Si funciona en solitario pero no en el script grande, vete añadiendo las que pudiesen estar fastidiando el asunto y así detectar el problema. Encontré el tema del ftp. Para que --state ESTABLISHED, RELATED identifique las conexiones que corresponde al ftp tienes que cargar el módulo ip_conntrack_ftp (modprobe ip_conntrack_ftp). Saludos. Ok, ya me di cuenta como es el tema de los privados! perdon a todos. Bueno para aprovechar el mail les cuento que el script quedó así: #!/bin/bash #/usr/local/sbin/setiptables.bash iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward echo 2 /proc/sys/net/ipv4/conf/all/rp_filter echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 /proc/sys/net/ipv4/tcp_timestamps echo 30 /proc/sys/net/ipv4/tcp_fin_timeout echo 2400 /proc/sys/net/ipv4/tcp_keepalive_time echo 0 /proc/sys/net/ipv4/tcp_window_scaling echo 0 /proc/sys/net/ipv4/tcp_sack iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP # INPUT HP # iptables -t filter -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A INPUT -i eth1 -p udp --dport 67 -j ACCEPT #DHCP iptables -t filter -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT #SQUID iptables -t filter -A INPUT -i eth1 -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A INPUT -i eth1 -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p udp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT -s 192.168.0.2 #SSH # OUTPUT HP # iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS iptables -t filter -A OUTPUT -p tcp --sport 3128 -j ACCEPT #SQUID iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT #WWW iptables -t filter -A OUTPUT -p udp --sport 67 -j ACCEPT #DHCP iptables -t filter -A OUTPUT -p udp --dport 445 -j ACCEPT #Microsoft-DS SMB file sharing iptables -t filter -A OUTPUT -p tcp --dport 137:139 -j ACCEPT #NetBios iptables -t filter -A OUTPUT -p udp --dport 137:139 -j ACCEPT #NetBios # FORWARD LAN # iptables -t filter -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT #FTP iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT #SMTP iptables -t filter -A