Regla de iptables
Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables
Emilio wrote: Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. Emilio, porque no empiezas por postear tu script de iptables? Por otro lado, suponiendo que la IP de la Impresora de Red sea 192.168.0.1, podrías probar con algo como: iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables
Emilio escreveu: Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. Pero claro que es posible, siempre y cuando tu impresora esté siendo compartidad a través de protocolo TCP/IP. En el mensaje no aclaraste este punto, entonces hay que preguntarte: ¿como compartís esta impresora? ¿Samba/Windows? ¿Unix/CUPS? Las reglas se configuran como si fueran para un servicio de tu red. Al estilo si el datagrama llega en la interfaz eth0 y tiene como destino la ip del sistema que controla la impresora, entonces hago forward. Saludos. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables
El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió: Emilio wrote: Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. Emilio, porque no empiezas por postear tu script de iptables? Por otro lado, suponiendo que la IP de la Impresora de Red sea 192.168.0.1, podrías probar con algo como: iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT Saludos. Hola, Muchas gracias por contestar con tanta rapidez. Cuando llegue a casa pruebo lo que me comentas y, os posteo el script de iptables. Para Miguel Da Silva: La impresora no esta enchufada a ningún equipo, es decir, esta tiene su propia tarjeta de red con lo que es como si fuera un equipo mas de la red. Muchas gracias de nuevo. Un saludo. Emilio -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables
Emilio wrote: El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió: Emilio wrote: Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. Emilio, porque no empiezas por postear tu script de iptables? Por otro lado, suponiendo que la IP de la Impresora de Red sea 192.168.0.1, podrías probar con algo como: iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT Saludos. Hola, Muchas gracias por contestar con tanta rapidez. Cuando llegue a casa pruebo lo que me comentas y, os posteo el script de iptables. Para Miguel Da Silva: La impresora no esta enchufada a ningún equipo, es decir, esta tiene su propia tarjeta de red con lo que es como si fuera un equipo mas de la red. Muchas gracias de nuevo. Un saludo. Emilio Bien... pero como ella es compartida?! Este dato es importante para saber como armar las reglas. Si los usuarios imprimen directamente a la impresora, entonces las reglas deberán contener la IP de la impresora. Sin embargo, si hay algún sistema controladola (mejor dicho, controlando la fila de impresiones), entonces la IP debería ser de este sistema. Saludos. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables
El 02/07/2008, a las 20:14, Miguel Da Silva - Centro de Matemática escribió: Emilio wrote: El mié, 02-07-2008 a las 10:25 -0300, ciracusa escribió: Emilio wrote: Hola lista, Tengo un problemilla con iptables. A ver si me podéis echar una mano, pero no al cuello ;) Tengo un pc que hace de firewall (iptables) funcionando perfectamente para mis necesidades claro. Tiene dos tarjetas de red, una que esta enchufada al router wireless de internet (eth0) y la otra que va a un switch que este a su vez enchufa a otros pc's (eth1). Dentro de la red local (eth1) hay una impresora en red que me gustaría compartir con las dos interfaces de tal forma que la gente que se conecta al router wireless, puedan acceder perfectamente a esa impresora que esta dentro de la red local. He estado probando varias reglas con forward, forward con nat... pero ninguna me ha funcionado. Sabéis si esto que quiero hacer es posible hacerlo? Me podéis arrojar algo de luz? Un saludo y muchas gracias por vuestra ayuda. Emilio, porque no empiezas por postear tu script de iptables? Por otro lado, suponiendo que la IP de la Impresora de Red sea 192.168.0.1, podrías probar con algo como: iptables -A INPUT -p tcp -i eth0 -d 192.168.0.1 -j ACCEPT Saludos. Hola, Muchas gracias por contestar con tanta rapidez. Cuando llegue a casa pruebo lo que me comentas y, os posteo el script de iptables. Para Miguel Da Silva: La impresora no esta enchufada a ningún equipo, es decir, esta tiene su propia tarjeta de red con lo que es como si fuera un equipo mas de la red. Muchas gracias de nuevo. Un saludo. Emilio Bien... pero como ella es compartida?! Este dato es importante para saber como armar las reglas. Si los usuarios imprimen directamente a la impresora, entonces las reglas deberán contener la IP de la impresora. Sin embargo, si hay algún sistema controladola (mejor dicho, controlando la fila de impresiones), entonces la IP debería ser de este sistema. Saludos. -- Miguel Da Silva Administrador Junior de Sistemas Unix Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy Los usuarios imprimen directamente a la impresora. Muchas gracias por contestar. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Regla de Iptables para DNS
Buenas Lista. Estoy leyendo sobre iptables y temas relacionados, y entre otras cosas vi el hecho de aceptar cierto tráfico si su estado es ESTABLISHED o RELATED, lo cual es muy interesante. La consulta es la siguiente: Es correcto tener para los dns: iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT o iptables -A INPUT -m state --state ESTABLISHED,RELATED -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT Muchas Gracias. Salu2. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de Iptables para DNS
El Tue, 17 Jun 2008 12:41:46 -0300 adriancito [EMAIL PROTECTED] escribió: Buenas Lista. Estoy leyendo sobre iptables y temas relacionados, y entre otras cosas vi el hecho de aceptar cierto tráfico si su estado es ESTABLISHED o RELATED, lo cual es muy interesante. La consulta es la siguiente: Es correcto tener para los dns: iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT o iptables -A INPUT -m state --state ESTABLISHED,RELATED -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT Muchas Gracias. Salu2. Creo que podrías ser incluso más restrictivo: iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \ $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT e incluso más: iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \ $EXT_IF -p udp -m udp --sport 53 --dport 32768:65535 -j ACCEPT En mis curiosas incursiones con wireshark jamás he visto una aplicación no privilegiada intentar una conexión desde un puerto inferior al 32768 en linux. De todas formas comprueba que no te impide la resolución de nombres con herramientas como dig, host, nslookup o cualquier otra similar que pueda haber. Saludos y suerte -- Manolo Díaz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Regla de iptables que no me cierra...
--- Martin C. [EMAIL PROTECTED] escribió: Hola a todos... esta vez vengo con una duda sobre algo que lei y sinceramente no me cierra, y quiero saber si estoy equivocado o no. Leyendo un manual de iptables, me encuentro con una regla como esta: iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT Y aqui mi pregunta: Hasta donde se, udp no es un protocolo orientado a conexion como el tcp. Entonces, estas reglas estadian de mas, o por lo menos el ESTABLISHED, no es asi? Te puedo asegurar que el RELATED Y ESTABLISHED no van con udp. Muchos dolores de cabeza me dio con varios firewalls con politica por defecto drop, hasta que me acorde de que udp no es un protocolo orientado a conexión y que debía aceptar tanto el envío como la respuesta por separado. Un saludo. __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Regla de iptables que no me cierra...
Te puedo asegurar que el RELATED Y ESTABLISHED no van con udp. Muchos dolores de cabeza me dio con varios firewalls con politica por defecto drop, hasta que me acorde de que udp no es un protocolo orientado a conexión y que debía aceptar tanto el envío como la respuesta por separado. Gracias por tu respuesta, entonces era como decia yo nomas. Un saludo. Otro.
Regla de iptables que no me cierra...
Hola a todos... esta vez vengo con una duda sobre algo que lei y sinceramente no me cierra, y quiero saber si estoy equivocado o no. Leyendo un manual de iptables, me encuentro con una regla como esta: iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT Y aqui mi pregunta: Hasta donde se, udp no es un protocolo orientado a conexion como el tcp. Entonces, estas reglas estadian de mas, o por lo menos el ESTABLISHED, no es asi? En fin, eso... saludos y gracias desde ya. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Duda con una regla de iptables
Hola a todos... Tengo un firewall en el que tengo definidas una serie de reglas para la cadena FORWARD, del tipo -A FORWARD -s 19.168.1.x -o eth1 -j ACCEPT Para salir a internet, no todas las direcciones de mi red interna, salen a internet, por eso tengo una regla de estas por cada IP. Para el retorno tengo: - A FORWARD -d 192.168.1.0/24 -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Ahora bien, la duda: ¿es posible formar un paquete (de forma maliciosa) que tenga el estado en ESTABLISHED o RELATED y cuyo destino sea alguna IP de las no autorizadas a hacer FORWARD? En caso afirmativo, ¿seria buena idea establecer las reglas de retorno de forma analoga a la salida? E.g : -A FORWARD -s 192.168.1.x -i eth1 -m state --state ESTABLISHED, RELATED -j ACCEPT Saludos y gracias de antemano.
Donde pongo las regla de iptables en /etc/default/iptables ??
Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al iniciar el sistema y poder utilizar el el /etc/init.d/iptables. Gracias
Re: Donde pongo las regla de iptables en /etc/default/iptables ??
Mira: yo lo que he hecho es un script que se llama iptables. Este lo he puesto en el /etc/rc.boot/ y siempre que arranaco el ordenador me funciona perfectamente. Una vez en la lista me pusieron que ponerlo en ese directorio era una burrada, pero a mi de momento me va bien :P. te pasteo el script por si quieres copiarlo, y ya sabes le das permiso de ejecucion y palante como los de Alicante :P #!/bin/bash #Activar el reenvío de paquetes: echo 1 /proc/sys/net/ipv4/ip_forward #Limpiaremos las reglas del iptables: iptables --flush iptables --table nat --flush #Activaremos el NAT con enmacaramiento en las reglas del #iptables: iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface eth1 -j ACCEPT echo Iniciado iptables OK # Fin de script Saludos Juak - Original Message - From: beto [EMAIL PROTECTED] To: debian debian-user-spanish@lists.debian.org Sent: Friday, August 30, 2002 8:32 PM Subject: Donde pongo las regla de iptables en /etc/default/iptables ?? Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al iniciar el sistema y poder utilizar el el /etc/init.d/iptables. Gracias -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Donde pongo las regla de iptables en /etc/default/iptables ??
Esa es mi pregunta, donde coloco las reglas que quiero que se carguen al iniciar el sistema y poder utilizar el el /etc/init.d/iptables. Gracias