subject:"Re\: \[Gutl\-l\] ayuda en iptables"

Re: [Gutl-l] ayuda en iptables

2011-05-27 Por tema Ing. Nestor Alonso Torres

On Wed, 2011-05-18 at 09:03 -0400, Adrian Martinez Perez wrote:
> Salu2 comunidad
> por estos dias me estuvieron tirando una revision desde el exterior y me 
> encontraron lo siguiente
> puerto 80 abierto por la lan
> 

Últimamente estoy viendo que se ha vuelto una costumbre resolver con el
firewall los problemas de configuración de los servicios.

Me explico:

Si usted solamente necesita dar servicio http por la LAN ¿Por qué no
lo define así en la configuración de Apache, que lo permite
perfectamente?

Si usted solamente necesita que su Squid escuche a los usuarios de su
LAN... ¿Por qué no usa el comando que tiene squid permitido en sus
configuraciones para definir por qué interfaz de red escuchar?

Un firewall, contrario a lo que piensan los administradores de red
formados en otros sistemas operativos no-UNIX-like, no es la solución
mágica a todos los problemas del server. En Linux existen comandos para
saber qué aplicación tiene ese puerto abierto, y para qué lo utiliza. Es
tarea del administrador de red detener -o desintalar- esos servicios que
no se utilizan y que están corriendo "por default". El firewall no se
puede convertir en la alfombra debajo de la cual se mete la basura...

El firewall tiene una función, a *su nivel* en la pila de protocolos
TCP/IP. Los problemas de capa de aplicación lo deben resolver las
aplicaciones. 

Por otra parte, si trabajan en los servidores solamente como root y con
interfaz gráfica -como me consta que se hace en algunos servidores de
Joven Club- lo primero que haría un atacante con un script malicioso
sería:

iptables --flush

y adiós firewall... Dios los libre de lo que sucedería después, con los
servicios mal configurados y todo el poder de root... :(

Saludos fraternales,

nat

PD: Inexplicablemente, esas inspecciones *no* detectan como deficiencia
que se trabaje como root y con interfaz gráfica en un servidor, a pesar
que GNOME se queja cada vez que se inicia sesión...

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-19 Por tema Hugo Florentino

Perdón, donde puse:
iptables -A OUTPUT -i lo -j ACCEPT

debería haber puesto:
iptables -A OUTPUT -o lo -j ACCEPT



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Hugo Florentino


On 18/05/11 11:13, gutl-l-requ...@jovenclub.cu wrote:

aca esta la salida de iptables-save

# Generated by iptables-save v1.4.8 on Wed May 18 10:48:27 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1326:63793]
:OUTPUT ACCEPT [1326:63793]
COMMIT
# Completed on Wed May 18 10:48:27 2011
# Generated by iptables-save v1.4.8 on Wed May 18 10:48:27 2011
*filter
:INPUT DROP [7:388]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1332:64170]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 443 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3128 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 53 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 53 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 67 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 67 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 20:21 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 20:21 -m state
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 137:138 -m
state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 137:138 -m
state --state NEW -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed May 18 10:48:27 2011


Pues yo no veo que tengas el puerto 80 abierto para eth0, asi que 
francamente no se que te pueda estar pasando.
Intenta cerrarlo todo por unos minutos a ver si aun así hay acceso al 
puerto 80 desde afuera:


echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t raw -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW \
-m limit --limit 1/sec -j LOG --log-level debug --log-prefix "WEB_WAN"
iptables -Z

PD. Disculpa la demora en la respuesta, es que el motherboard de mi PC 
parece que esta a punto de tomar unas vacaciones permanentes :(


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Tony Guardado Hernandez

Es verdad el POP3 es 110 

-Mensaje original-
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Alberto José García Fumero
Enviado el: Wednesday, May 18, 2011 11:00 AM
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: Re: [Gutl-l] ayuda en iptables

El mié, 18-05-2011 a las 10:52 -0400, Tony Guardado Hernandez escribió: 
> 111 es POP3

Pop3 es 110.
-- 
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Manuel Piloto Prieto

111 es   Sun RPC Portmapper


- Original Message - 
From: "Alberto José García Fumero" 
To: "Lista cubana de soporte tecnico en Tecnologias Libres" 

Sent: Wednesday, May 18, 2011 10:00 AM
Subject: Re: [Gutl-l] ayuda en iptables


El mié, 18-05-2011 a las 10:52 -0400, Tony Guardado Hernandez escribió:
> 111 es POP3

Pop3 es 110.
-- 
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
MailScanner agradece a transtec Computers por su apoyo.

= 


-- 
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
MailScanner agradece a transtec Computers por su apoyo.


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Adrian Martinez Perez


El 18/05/11 09:14, S@lbi escribió:

pero que es lo que necesitas cerra el puerto 80 para la LAN y dejarlo
abierto para la WAN o viceversa, pues aqui tienes abierto el 80 nada mas
para la LAN.


${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m state
--state NEW -j ACCEPT















On Wed, 18 May 2011 09:03:25 -0400, Adrian Martinez Perez
  wrote:

Salu2 comunidad
por estos dias me estuvieron tirando una revision desde el exterior y me
encontraron lo siguiente
puerto 80 abierto por la lan

esto es una dificultad que no se como corregir
aca les dejo mi iptables a ver como me podrian ayudar a resolver este
problema
soy en esto de iptables un ñame jejejejeje
bueno aca les dejo mi iptable


#!/bin/sh

###
# Definicion de Variables #
###
IPTABLES="/sbin/iptables"

if [ ! -x ${IPTABLES} ]; then
exit 0
fi

echo -n "Aplicando Reglas de Firewall..."

##
# Limpiar reglas #
##
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F

#
# Establecemos politica por defecto #
#
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT

## Nota: eth1 es la LAN y eth0 a la WAN

#-- Permitir conexiones establecidas
${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#-- Permitir conexiones localhost
${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT

#-- Permitir ping a la red LAN
${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la WAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT



###
# NAT para el Correo y JABBER #
###

#-- Aclaje al SMTP, POP3 y IMAP con conexión segura
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25  -j DNAT
--to-destination 192.168.54.3:25 # SMTP-TLS
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT
--to-destination 192.168.54.3:995 # POP3-SSL
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT
--to-destination 192.168.54.3:993 # IMAP-SSL

#-- Aceptamos que los clientes vayan al correo del servidor de la
provincia con conexión segura
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 25 -j ACCEPT # SMTP-TLS
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 995 -j ACCEPT # POP3-SSL
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 993 -j ACCEPT # IMAP-SSL

# Clienet Jabber
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5223 -j ACCEPT
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5222 -j ACCEPT

#-- Enmascaramiento de la LAN
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j

MASQUERADE



###

##
# Reglas de Servicio #
##

#-- Permitir la WWW para la LAN.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT

#-- Permitir el Proxy.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m
state --state NEW -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la LAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT

#-- Permitir FTP activo y pasivo
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m
state --state NEW -j ACCEPT
# Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"

echo 1>  /proc/sys/net/ipv4/ip_forward

#-- Log de los paquetes de entrada negados
#${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix  "DROP
INPUT:<- "
#${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP
OUTPUT: ->  "
#${IPTABLES} -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD
DROP:<->  "

echo " OK."


en espera de ayuda y agradecido


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Carlos Sosa

POP3 es 110 y POP3S es el 995
IMAP es 143 y IMAPS es el 993
- Original Message - 
From: "Tony Guardado Hernandez" 
To: "'Lista cubana de soporte tecnico en Tecnologias Libres'" 

Sent: Wednesday, May 18, 2011 10:52 AM
Subject: Re: [Gutl-l] ayuda en iptables

111 es POP3

-Mensaje original-
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Alberto José García Fumero
Enviado el: Wednesday, May 18, 2011 10:45 AM
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: Re: [Gutl-l] ayuda en iptables

El mié, 18-05-2011 a las 10:12 -0400, Adrian Martinez Perez escribió:

El 18/05/11 10:04, Ridel Freijó Angerí escribió:

ahhh y si es posible alguien me dice para que es el puerto 111

El puerto 11 es sunrpc portmapper (udp y tcp)

Puedes buscar todas las especificaciones de puertos en /etc/services.
--
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

__ Información de ESET NOD32 Antivirus, versión de la base de firmas 
de virus 6127 (20110516) __

ESET NOD32 Antivirus ha comprobado este mensaje.

http://www.eset.com

__ Información de ESET NOD32 Antivirus, versión de la base de firmas de 
virus 6127 (20110516) __

ESET NOD32 Antivirus ha comprobado este mensaje.

http://www.eset.com

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Alberto José García Fumero

El mié, 18-05-2011 a las 10:52 -0400, Tony Guardado Hernandez escribió: 
> 111 es POP3

Pop3 es 110.
-- 
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Ridel Freijó Angerí

Si en ese servidor estas prestando servicio web, no hay necesidad ninguna de 
cerrar ese puerto.


Ridel Freijó Angerí
Especialista Principal Joven Club Remedios III
Telefono: 395112  email: ridel07...@vcl.jovenclub.cu

"Vivir no es solo respirar"

De: gutl-l-boun...@jovenclub.cu [gutl-l-boun...@jovenclub.cu] En nombre de 
Adrian Martinez Perez [adrian11...@cha.jovenclub.cu]
Enviado el: miércoles, 18 de mayo de 2011 07:03 a.m.
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: [Gutl-l] ayuda en iptables

Salu2 comunidad
por estos dias me estuvieron tirando una revision desde el exterior y me
encontraron lo siguiente
puerto 80 abierto por la lan

esto es una dificultad que no se como corregir
aca les dejo mi iptables a ver como me podrian ayudar a resolver este
problema
soy en esto de iptables un ñame jejejejeje
bueno aca les dejo mi iptable


#!/bin/sh

###
# Definicion de Variables #
###
IPTABLES="/sbin/iptables"

if [ ! -x ${IPTABLES} ]; then
   exit 0
fi

echo -n "Aplicando Reglas de Firewall..."

##
# Limpiar reglas #
##
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F

#
# Establecemos politica por defecto #
#
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT

## Nota: eth1 es la LAN y eth0 a la WAN

#-- Permitir conexiones establecidas
${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#-- Permitir conexiones localhost
${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT

#-- Permitir ping a la red LAN
${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la WAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT



###
# NAT para el Correo y JABBER #
###

#-- Aclaje al SMTP, POP3 y IMAP con conexión segura
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25  -j DNAT
--to-destination 192.168.54.3:25 # SMTP-TLS
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT
--to-destination 192.168.54.3:995 # POP3-SSL
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT
--to-destination 192.168.54.3:993 # IMAP-SSL

#-- Aceptamos que los clientes vayan al correo del servidor de la
provincia con conexión segura
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 25 -j ACCEPT # SMTP-TLS
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 995 -j ACCEPT # POP3-SSL
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 993 -j ACCEPT # IMAP-SSL

# Clienet Jabber
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5223 -j ACCEPT
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5222 -j ACCEPT

#-- Enmascaramiento de la LAN
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

###

##
# Reglas de Servicio #
##

#-- Permitir la WWW para la LAN.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT

#-- Permitir el Proxy.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m
state --state NEW -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la LAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT

#-- Permitir FTP activo y pasivo
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m
state --state NEW -j ACCEPT
# Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"

echo 1 > /proc/sys/net/ipv4/ip_forward

#-- Log de los paquetes de entrada negados
#${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix  "DROP
INPUT: <- "
#${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP
OUTPUT: -> "
#${IPTABLES} -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD
DROP: <-> "

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Michael Gonzalez Medina


El 18/05/11 10:12, Adrian Martinez Perez escribió:


yo presto ese servicio pero interno no externo es decir localmente en 
el joven club no externamente

ahhh y si es posible alguien me dice para que es el puerto 111


111/tcp -> portmapper  #RPC 4.0 portmapper
111/udp -> portmapper

http://es.wikipedia.org/wiki/ONC_RPC

saludos,

--
Michael Gonzalez Medina
Administrador de Red
CNSV
Nota: En este mensaje se han omitido los acentos.


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Adrian Martinez Perez


El 18/05/11 10:44, Hugo Florentino escribió:
Segun el script que mandas, el puerto 80 debería estar abierto para la 
LAN (eth1) pero no así para la WAN (eth0). Si el puerto 80 está 
abierto para la WAN, es probable se esté abriendo en alguna otra parte.


Pon aquí la salida de cualquiera de estos dos comandos:

iptables-save

iptables -S


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


aca esta la salida de iptables-save

# Generated by iptables-save v1.4.8 on Wed May 18 10:48:27 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1326:63793]
:OUTPUT ACCEPT [1326:63793]
COMMIT
# Completed on Wed May 18 10:48:27 2011
# Generated by iptables-save v1.4.8 on Wed May 18 10:48:27 2011
*filter
:INPUT DROP [7:388]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1332:64170]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 443 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3128 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 53 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 53 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 67 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 67 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 20:21 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 20:21 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 137:138 -m 
state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 137:138 -m 
state --state NEW -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed May 18 10:48:27 2011


resultado de iptables -S
root@ns:/etc/init.d# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 443 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3128 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 53 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 53 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 67 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 67 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 20:21 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 20:21 -m state 
--state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 137:138 -m 
state --state NEW -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 137:138 -m 
state --state NEW -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Tony Guardado Hernandez

111 es POP3

-Mensaje original-
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Alberto José García Fumero
Enviado el: Wednesday, May 18, 2011 10:45 AM
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: Re: [Gutl-l] ayuda en iptables

El mié, 18-05-2011 a las 10:12 -0400, Adrian Martinez Perez escribió: 
> El 18/05/11 10:04, Ridel Freijó Angerí escribió:

> ahhh y si es posible alguien me dice para que es el puerto 111

El puerto 11 es sunrpc portmapper (udp y tcp)

Puedes buscar todas las especificaciones de puertos en /etc/services.
-- 
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Tony Guardado Hernandez

Si cierras el puerto 80 por wan no vas a poder navegar, ese servidor si es
de Web no tiene sentido cerrar el puerto, pero si es de otro servicio puedes
hacerlo usando DROP en vez de ACCEPT

-Mensaje original-
De: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] En
nombre de Alberto Morales Fernández
Enviado el: Wednesday, May 18, 2011 10:39 AM
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: Re: [Gutl-l] ayuda en iptables


>>
> eso yo lo se pero pero me dicen que esta abierto por la wan y  
> necesito cerrarlo en la wan
>
> __


crea una regla para cerrar el resto de los puertos

saludos

Alberto

--
Webmail, servicio de correo electronico
Casa de las Americas - La Habana, Cuba.



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Alberto José García Fumero

El mié, 18-05-2011 a las 10:12 -0400, Adrian Martinez Perez escribió: 
> El 18/05/11 10:04, Ridel Freijó Angerí escribió:

> ahhh y si es posible alguien me dice para que es el puerto 111

El puerto 11 es sunrpc portmapper (udp y tcp)

Puedes buscar todas las especificaciones de puertos en /etc/services.
-- 
MSc. Alberto García Fumero
Usuario Linux 97 318
Las autoridades sanitarias advierten:
El uso prolongado de Windows puede provocar dependencia


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Yoandy Madrazo Gómez

Se ha borrado un adjunto en formato HTML...
URL: 

__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Hugo Florentino

Segun el script que mandas, el puerto 80 debería estar abierto para la 
LAN (eth1) pero no así para la WAN (eth0). Si el puerto 80 está abierto 
para la WAN, es probable se esté abriendo en alguna otra parte.


Pon aquí la salida de cualquiera de estos dos comandos:

iptables-save

iptables -S


__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Alberto Morales Fernández





eso yo lo se pero pero me dicen que esta abierto por la wan y  
necesito cerrarlo en la wan


__



crea una regla para cerrar el resto de los puertos

saludos

Alberto

--
Webmail, servicio de correo electronico
Casa de las Americas - La Habana, Cuba.



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema Adrian Martinez Perez


El 18/05/11 10:04, Ridel Freijó Angerí escribió:

Si en ese servidor estas prestando servicio web, no hay necesidad ninguna de 
cerrar ese puerto.


Ridel Freijó Angerí
Especialista Principal Joven Club Remedios III
Telefono: 395112  email: ridel07...@vcl.jovenclub.cu

"Vivir no es solo respirar"

De: gutl-l-boun...@jovenclub.cu [gutl-l-boun...@jovenclub.cu] En nombre de 
Adrian Martinez Perez [adrian11...@cha.jovenclub.cu]
Enviado el: miércoles, 18 de mayo de 2011 07:03 a.m.
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: [Gutl-l] ayuda en iptables

Salu2 comunidad
por estos dias me estuvieron tirando una revision desde el exterior y me
encontraron lo siguiente
puerto 80 abierto por la lan

esto es una dificultad que no se como corregir
aca les dejo mi iptables a ver como me podrian ayudar a resolver este
problema
soy en esto de iptables un ñame jejejejeje
bueno aca les dejo mi iptable


#!/bin/sh

###
# Definicion de Variables #
###
IPTABLES="/sbin/iptables"

if [ ! -x ${IPTABLES} ]; then
exit 0
fi

echo -n "Aplicando Reglas de Firewall..."

##
# Limpiar reglas #
##
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F

#
# Establecemos politica por defecto #
#
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT

## Nota: eth1 es la LAN y eth0 a la WAN

#-- Permitir conexiones establecidas
${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#-- Permitir conexiones localhost
${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT

#-- Permitir ping a la red LAN
${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la WAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT



###
# NAT para el Correo y JABBER #
###

#-- Aclaje al SMTP, POP3 y IMAP con conexión segura
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25  -j DNAT
--to-destination 192.168.54.3:25 # SMTP-TLS
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT
--to-destination 192.168.54.3:995 # POP3-SSL
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT
--to-destination 192.168.54.3:993 # IMAP-SSL

#-- Aceptamos que los clientes vayan al correo del servidor de la
provincia con conexión segura
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 25 -j ACCEPT # SMTP-TLS
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 995 -j ACCEPT # POP3-SSL
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 993 -j ACCEPT # IMAP-SSL

# Clienet Jabber
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5223 -j ACCEPT
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5222 -j ACCEPT

#-- Enmascaramiento de la LAN
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

###

##
# Reglas de Servicio #
##

#-- Permitir la WWW para la LAN.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT

#-- Permitir el Proxy.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m
state --state NEW -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la LAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT

#-- Permitir FTP activo y pasivo
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m
state --state NEW -j ACCEPT
# Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"

echo 1>  /proc/sys/net/ipv4/ip_forward

#-- Log de los paquetes de entrada negados
#${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix  "DROP
INPUT:<- "
#${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP
OUTPUT: ->  "
#${IPTABLES} -A FORWARD -j LOG

Re: [Gutl-l] ayuda en iptables

2011-05-18 Por tema S@lbi

pero que es lo que necesitas cerra el puerto 80 para la LAN y dejarlo
abierto para la WAN o viceversa, pues aqui tienes abierto el 80 nada mas
para la LAN.


${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m state
--state NEW -j ACCEPT















On Wed, 18 May 2011 09:03:25 -0400, Adrian Martinez Perez
 wrote:
> Salu2 comunidad
> por estos dias me estuvieron tirando una revision desde el exterior y me

> encontraron lo siguiente
> puerto 80 abierto por la lan
> 
> esto es una dificultad que no se como corregir
> aca les dejo mi iptables a ver como me podrian ayudar a resolver este 
> problema
> soy en esto de iptables un ñame jejejejeje
> bueno aca les dejo mi iptable
> 
> 
> #!/bin/sh
> 
> ###
> # Definicion de Variables #
> ###
> IPTABLES="/sbin/iptables"
> 
> if [ ! -x ${IPTABLES} ]; then
>exit 0
> fi
> 
> echo -n "Aplicando Reglas de Firewall..."
> 
> ##
> # Limpiar reglas #
> ##
> ${IPTABLES} -F
> ${IPTABLES} -X
> ${IPTABLES} -Z
> ${IPTABLES} -t nat -F
> 
> #
> # Establecemos politica por defecto #
> #
> ${IPTABLES} -P INPUT DROP
> ${IPTABLES} -P OUTPUT ACCEPT
> ${IPTABLES} -P FORWARD DROP
> ${IPTABLES} -t nat -P PREROUTING ACCEPT
> ${IPTABLES} -t nat -P POSTROUTING ACCEPT
> 
> ## Nota: eth1 es la LAN y eth0 a la WAN
> 
> #-- Permitir conexiones establecidas
> ${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> ${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> ${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> #-- Permitir conexiones localhost
> ${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT
> 
> #-- Permitir ping a la red LAN
> ${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
> 
> #-- Permitir Sincronización con el servidor de tiempo en la WAN
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m 
> state --state NEW -j ACCEPT
> 
> 
> 
> ###
> # NAT para el Correo y JABBER #
> ###
> 
> #-- Aclaje al SMTP, POP3 y IMAP con conexión segura
> ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25  -j DNAT 
> --to-destination 192.168.54.3:25 # SMTP-TLS
> ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT 
> --to-destination 192.168.54.3:995 # POP3-SSL
> ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT 
> --to-destination 192.168.54.3:993 # IMAP-SSL
> 
> #-- Aceptamos que los clientes vayan al correo del servidor de la 
> provincia con conexión segura
> ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 
> --dport 25 -j ACCEPT # SMTP-TLS
> ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 
> --dport 995 -j ACCEPT # POP3-SSL
> ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 
> --dport 993 -j ACCEPT # IMAP-SSL
> 
> # Clienet Jabber
> ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6 
> --dport 5223 -j ACCEPT
> ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6 
> --dport 5222 -j ACCEPT
> 
> #-- Enmascaramiento de la LAN
> ${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j
MASQUERADE
> 
>
###
> 
> ##
> # Reglas de Servicio #
> ##
> 
> #-- Permitir la WWW para la LAN.
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m 
> state --state NEW -j ACCEPT
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m 
> state --state NEW -j ACCEPT
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m 
> state --state NEW -j ACCEPT
> 
> #-- Permitir el Proxy.
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m 
> state --state NEW -j ACCEPT
> 
> #-- Permitir Sincronización con el servidor de tiempo en la LAN
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m 
> state --state NEW -j ACCEPT
> 
> #-- Permitir FTP activo y pasivo
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m 
> state --state NEW -j ACCEPT
> ${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m 
> state --state NEW -j ACCEPT
> ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m 
> state --state NEW -j ACCEPT
> ${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m 
> state --state NEW -j ACCEPT
> # Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"
> 
> echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> #-- Log de los paquetes de entrada negados
> #${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix  "DROP 
> INPUT: <- "
> #${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP 
> OUTPUT: -> "
> #${IPTABLES} -A FORWARD -j LOG

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

Re: [Gutl-l] ayuda en iptables

19 matches

Site Navigation

Mail list logo

Footer information