Regla de iptables

2008-07-02 Por tema Emilio 
Hola lista,

Tengo un problemilla con iptables. A ver si me podéis echar una mano,
pero no al cuello ;)

Tengo un pc que hace de firewall (iptables) funcionando perfectamente
para mis necesidades claro.
Tiene dos tarjetas de red, una que esta enchufada al router wireless de
internet (eth0) y la otra que va a un switch que este a su vez enchufa a
otros pc's (eth1).

Dentro de la red local (eth1) hay una impresora en red que me gustaría
compartir con las dos interfaces de tal forma que la gente que se
conecta al router wireless, puedan acceder perfectamente a esa impresora
que esta dentro de la red local.

He estado probando varias reglas con forward, forward con nat... pero
ninguna me ha funcionado.

Sabéis si esto que quiero hacer es posible hacerlo?
Me podéis arrojar algo de luz?

Un saludo y muchas gracias por vuestra ayuda.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables

2008-07-02 Por tema ciracusa 

Emilio wrote:

Hola lista,

Tengo un problemilla con iptables. A ver si me podéis echar una mano,
pero no al cuello ;)

Tengo un pc que hace de firewall (iptables) funcionando perfectamente
para mis necesidades claro.
Tiene dos tarjetas de red, una que esta enchufada al router wireless de
internet (eth0) y la otra que va a un switch que este a su vez enchufa a
otros pc's (eth1).

Dentro de la red local (eth1) hay una impresora en red que me gustaría
compartir con las dos interfaces de tal forma que la gente que se
conecta al router wireless, puedan acceder perfectamente a esa impresora
que esta dentro de la red local.

He estado probando varias reglas con forward, forward con nat... pero
ninguna me ha funcionado.

Sabéis si esto que quiero hacer es posible hacerlo?
Me podéis arrojar algo de luz?

Un saludo y muchas gracias por vuestra ayuda.


  


Emilio, porque no empiezas por postear tu script de iptables?

Por otro lado, suponiendo que la IP de la Impresora de Red sea 
192.168.0.1, podrías probar con algo como:


iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT


Saludos.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables

2008-07-02 Por tema Miguel Da Silva - Centro de Matemática 

Emilio escreveu:

Hola lista,

Tengo un problemilla con iptables. A ver si me podéis echar una mano,
pero no al cuello ;)

Tengo un pc que hace de firewall (iptables) funcionando perfectamente
para mis necesidades claro.
Tiene dos tarjetas de red, una que esta enchufada al router wireless de
internet (eth0) y la otra que va a un switch que este a su vez enchufa a
otros pc's (eth1).

Dentro de la red local (eth1) hay una impresora en red que me gustaría
compartir con las dos interfaces de tal forma que la gente que se
conecta al router wireless, puedan acceder perfectamente a esa impresora
que esta dentro de la red local.

He estado probando varias reglas con forward, forward con nat... pero
ninguna me ha funcionado.

Sabéis si esto que quiero hacer es posible hacerlo?
Me podéis arrojar algo de luz?

Un saludo y muchas gracias por vuestra ayuda.




Pero claro que es posible, siempre y cuando tu impresora esté siendo 
compartidad a través de protocolo TCP/IP. En el mensaje no aclaraste 
este punto, entonces hay que preguntarte: ¿como compartís esta 
impresora? ¿Samba/Windows? ¿Unix/CUPS?


Las reglas se configuran como si fueran para un servicio de tu red. Al 
estilo si el datagrama llega en la interfaz eth0 y tiene como destino 
la ip del sistema que controla la impresora, entonces hago forward.


Saludos.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables

2008-07-02 Por tema Emilio 

El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió:
 Emilio wrote:
  Hola lista,
 
  Tengo un problemilla con iptables. A ver si me podéis echar una mano,
  pero no al cuello ;)
 
  Tengo un pc que hace de firewall (iptables) funcionando perfectamente
  para mis necesidades claro.
  Tiene dos tarjetas de red, una que esta enchufada al router wireless de
  internet (eth0) y la otra que va a un switch que este a su vez enchufa a
  otros pc's (eth1).
 
  Dentro de la red local (eth1) hay una impresora en red que me gustaría
  compartir con las dos interfaces de tal forma que la gente que se
  conecta al router wireless, puedan acceder perfectamente a esa impresora
  que esta dentro de la red local.
 
  He estado probando varias reglas con forward, forward con nat... pero
  ninguna me ha funcionado.
 
  Sabéis si esto que quiero hacer es posible hacerlo?
  Me podéis arrojar algo de luz?
 
  Un saludo y muchas gracias por vuestra ayuda.
 
 

 
 Emilio, porque no empiezas por postear tu script de iptables?
 
 Por otro lado, suponiendo que la IP de la Impresora de Red sea 
 192.168.0.1, podrías probar con algo como:
 
 iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT
 
 
 Saludos.
 
 

Hola,

Muchas gracias por contestar con tanta rapidez.

Cuando llegue a casa pruebo lo que me comentas y, os posteo el script de
iptables.

Para Miguel Da Silva:

La impresora no esta enchufada a ningún equipo, es decir, esta tiene su
propia tarjeta de red con lo que es como si fuera un equipo mas de la
red.

Muchas gracias de nuevo.

Un saludo.
Emilio



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables

2008-07-02 Por tema Miguel Da Silva - Centro de Matemática 

Emilio wrote:

El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió:

Emilio wrote:

Hola lista,

Tengo un problemilla con iptables. A ver si me podéis echar una mano,
pero no al cuello ;)

Tengo un pc que hace de firewall (iptables) funcionando perfectamente
para mis necesidades claro.
Tiene dos tarjetas de red, una que esta enchufada al router wireless de
internet (eth0) y la otra que va a un switch que este a su vez enchufa a
otros pc's (eth1).

Dentro de la red local (eth1) hay una impresora en red que me gustaría
compartir con las dos interfaces de tal forma que la gente que se
conecta al router wireless, puedan acceder perfectamente a esa impresora
que esta dentro de la red local.

He estado probando varias reglas con forward, forward con nat... pero
ninguna me ha funcionado.

Sabéis si esto que quiero hacer es posible hacerlo?
Me podéis arrojar algo de luz?

Un saludo y muchas gracias por vuestra ayuda.


  

Emilio, porque no empiezas por postear tu script de iptables?

Por otro lado, suponiendo que la IP de la Impresora de Red sea 
192.168.0.1, podrías probar con algo como:


iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT


Saludos.




Hola,

Muchas gracias por contestar con tanta rapidez.

Cuando llegue a casa pruebo lo que me comentas y, os posteo el script de
iptables.

Para Miguel Da Silva:

La impresora no esta enchufada a ningún equipo, es decir, esta tiene su
propia tarjeta de red con lo que es como si fuera un equipo mas de la
red.

Muchas gracias de nuevo.

Un saludo.
Emilio





Bien... pero como ella es compartida?! Este dato es importante para 
saber como armar las reglas.


Si los usuarios imprimen directamente a la impresora, entonces las 
reglas deberán contener la IP de la impresora. Sin embargo, si hay algún 
sistema controladola (mejor dicho, controlando la fila de impresiones), 
entonces la IP debería ser de este sistema.


Saludos.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables

2008-07-02 Por tema Emilio Jiménez 


El 02/07/2008, a las 20:14, Miguel Da Silva - Centro de Matemática  
escribió:



Emilio wrote:

El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió:

Emilio wrote:

Hola lista,

Tengo un problemilla con iptables. A ver si me podéis echar una  
mano,

pero no al cuello ;)

Tengo un pc que hace de firewall (iptables) funcionando  
perfectamente

para mis necesidades claro.
Tiene dos tarjetas de red, una que esta enchufada al router  
wireless de
internet (eth0) y la otra que va a un switch que este a su vez  
enchufa a

otros pc's (eth1).

Dentro de la red local (eth1) hay una impresora en red que me  
gustaría

compartir con las dos interfaces de tal forma que la gente que se
conecta al router wireless, puedan acceder perfectamente a esa  
impresora

que esta dentro de la red local.

He estado probando varias reglas con forward, forward con nat...  
pero

ninguna me ha funcionado.

Sabéis si esto que quiero hacer es posible hacerlo?
Me podéis arrojar algo de luz?

Un saludo y muchas gracias por vuestra ayuda.




Emilio, porque no empiezas por postear tu script de iptables?

Por otro lado, suponiendo que la IP de la Impresora de Red sea  
192.168.0.1, podrías probar con algo como:


iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT


Saludos.



Hola,
Muchas gracias por contestar con tanta rapidez.
Cuando llegue a casa pruebo lo que me comentas y, os posteo el  
script de

iptables.
Para Miguel Da Silva:
La impresora no esta enchufada a ningún equipo, es decir, esta  
tiene su

propia tarjeta de red con lo que es como si fuera un equipo mas de la
red.
Muchas gracias de nuevo.
Un saludo.
Emilio


Bien... pero como ella es compartida?! Este dato es importante para  
saber como armar las reglas.


Si los usuarios imprimen directamente a la impresora, entonces las  
reglas deberán contener la IP de la impresora. Sin embargo, si hay  
algún sistema controladola (mejor dicho, controlando la fila de  
impresiones), entonces la IP debería ser de este sistema.


Saludos.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy




Los usuarios imprimen directamente a la impresora.

Muchas gracias por contestar.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Regla de Iptables para DNS

2008-06-17 Por tema adriancito 

Buenas Lista.

Estoy leyendo sobre iptables y temas relacionados, y entre otras cosas 
vi el hecho de aceptar cierto tráfico si su estado es ESTABLISHED o 
RELATED, lo cual es muy interesante.


La consulta es la siguiente:

Es correcto tener para los dns:

iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport 
1024:65535 -j ACCEPT


o

iptables -A INPUT  -m state --state ESTABLISHED,RELATED -s $ANYRED -i 
$EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT


Muchas Gracias.

Salu2.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de Iptables para DNS

2008-06-17 Por tema Manolo Díaz 
El Tue, 17 Jun 2008 12:41:46 -0300
adriancito [EMAIL PROTECTED] escribió:

 Buenas Lista.
 
 Estoy leyendo sobre iptables y temas relacionados, y entre otras
 cosas vi el hecho de aceptar cierto tráfico si su estado es
 ESTABLISHED o RELATED, lo cual es muy interesante.
 
 La consulta es la siguiente:
 
 Es correcto tener para los dns:
 
 iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53
 --dport 1024:65535 -j ACCEPT
 
 o
 
 iptables -A INPUT  -m state --state ESTABLISHED,RELATED -s $ANYRED -i 
 $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
 
 Muchas Gracias.
 
 Salu2.
 
 

Creo que podrías ser incluso más restrictivo:

iptables -A INPUT  -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

e incluso más:

iptables -A INPUT  -m state --state ESTABLISHED -s $ANYRED -i \
$EXT_IF -p udp -m udp --sport 53 --dport 32768:65535 -j ACCEPT

En mis curiosas incursiones con wireshark jamás he visto una aplicación
no privilegiada intentar una conexión desde un puerto inferior al 32768
en linux.

De todas formas comprueba que no te impide la resolución de nombres con
herramientas como dig, host, nslookup o cualquier otra similar que pueda
haber.

Saludos y suerte

-- 
Manolo Díaz


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

RE: Regla de iptables que no me cierra...

2005-10-14 Por tema Alfonso Pinto 

 --- Martin C. [EMAIL PROTECTED] escribió:

 Hola a todos... esta vez vengo con una duda sobre
 algo que lei y sinceramente 
 no me cierra, y quiero saber si estoy equivocado o
 no.
 
 Leyendo un manual de iptables, me encuentro con una
 regla como esta:
 
 iptables -A INPUT -p udp -m state --state
 ESTABLISHED -j ACCEPT 
 iptables -A OUTPUT -p udp -m state --state
 NEW,ESTABLISHED -j ACCEPT 
 
 Y aqui mi pregunta:
 
 Hasta donde se, udp no es un protocolo orientado a
 conexion como el tcp. 
 Entonces, estas reglas estadian de mas, o por lo
 menos el ESTABLISHED, no es 
 asi?
 

Te puedo asegurar que el RELATED Y ESTABLISHED no van
con udp. Muchos dolores de cabeza me dio con varios
firewalls con politica por defecto drop, hasta que me
acorde de que udp no es un protocolo orientado a
conexión y que debía aceptar tanto el envío como la
respuesta por separado.

Un saludo.



__ 
Renovamos el Correo Yahoo! 
Nuevos servicios, más seguridad 
http://correo.yahoo.es


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Regla de iptables que no me cierra...

2005-10-14 Por tema Martin C. 
 Te puedo asegurar que el RELATED Y ESTABLISHED no van
 con udp. Muchos dolores de cabeza me dio con varios
 firewalls con politica por defecto drop, hasta que me
 acorde de que udp no es un protocolo orientado a
 conexión y que debía aceptar tanto el envío como la
 respuesta por separado.

Gracias por tu respuesta, entonces era como decia yo nomas.


 Un saludo.

Otro.

Regla de iptables que no me cierra...

2005-10-13 Por tema Martin C. 
Hola a todos... esta vez vengo con una duda sobre algo que lei y sinceramente 
no me cierra, y quiero saber si estoy equivocado o no.

Leyendo un manual de iptables, me encuentro con una regla como esta:

iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT 

Y aqui mi pregunta:

Hasta donde se, udp no es un protocolo orientado a conexion como el tcp. 
Entonces, estas reglas estadian de mas, o por lo menos el ESTABLISHED, no es 
asi?

En fin, eso... saludos y gracias desde ya.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Duda con una regla de iptables

2003-11-13 Por tema Angel Vicente Perez 
Hola a todos...

Tengo un firewall en el que tengo definidas una serie de reglas para la
cadena FORWARD, del tipo
-A FORWARD -s 19.168.1.x -o eth1 -j ACCEPT
Para salir a internet, no todas las direcciones de mi red interna, salen a
internet, por eso tengo una regla de estas por cada IP.

Para el retorno tengo:
- A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state
ESTABLISHED,RELATED -j ACCEPT

Ahora bien, la duda: ¿es posible formar un paquete (de forma maliciosa) que
tenga el estado en ESTABLISHED o RELATED y cuyo destino sea alguna IP de las
no autorizadas a hacer FORWARD?

En caso afirmativo, ¿seria buena idea establecer las reglas de retorno de
forma analoga a la salida? E.g : -A FORWARD -s 192.168.1.x -i eth1 -m state
--state ESTABLISHED, RELATED -j ACCEPT

Saludos y gracias de antemano.

Donde pongo las regla de iptables en /etc/default/iptables ??

2002-08-30 Por tema beto 
Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al
iniciar el sistema y poder utilizar el el /etc/init.d/iptables.

Gracias

Re: Donde pongo las regla de iptables en /etc/default/iptables ??

2002-08-30 Por tema Juan Guil 
Mira: yo lo que he hecho es un script que se llama iptables. Este lo he
puesto en el /etc/rc.boot/ y siempre que arranaco el ordenador me funciona
perfectamente. Una vez en la lista me pusieron que ponerlo en ese directorio
era una burrada, pero a mi de momento me va bien :P.
te pasteo el script por si quieres copiarlo, y ya sabes le das permiso de
ejecucion y palante como los de Alicante :P

#!/bin/bash

#Activar el reenvío de paquetes:
echo 1  /proc/sys/net/ipv4/ip_forward


#Limpiaremos las reglas del iptables:

iptables --flush
iptables --table nat --flush

#Activaremos el NAT con enmacaramiento en las reglas del
#iptables:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j  ACCEPT

echo Iniciado iptables  OK

# Fin de script
Saludos
Juak

- Original Message -
From: beto [EMAIL PROTECTED]
To: debian debian-user-spanish@lists.debian.org
Sent: Friday, August 30, 2002 8:32 PM
Subject: Donde pongo las regla de iptables en /etc/default/iptables ??


 Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al
 iniciar el sistema y poder utilizar el el /etc/init.d/iptables.

 Gracias






 --
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

Donde pongo las regla de iptables en /etc/default/iptables ??

2002-08-30 Por tema beto 
Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al
iniciar el sistema y poder utilizar el el /etc/init.d/iptables.

Gracias