pregunta de iptables +dar accesos directos
Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas: como se pude dar acceso directo a intenet mediante iptables a ciertos equipos de la red Ejemplo para el equipo 192.168.11.15, sin proxy: Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y todo paquete que sale, se acepta: iptables -P INPUT DROP iptables -PF ORWARD DROP iptables -P OUTPUT ACCEPT Siempre aceptas, al principio de las reglas FORWARD, las conexiones que ya están establecidas: iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Luego, si quieres dar acceso por todos los puertos: iptables -A FORWARD -s 192.168.11.15 -j ACCEPT O si quieres dar acceso solo por los puertos HTTP, HTTPs, pop3 y SMTP: iptables -A FORWARD -s 192.168.11.15 -j PUERTOS y antes creas la cadena PUERTOS: # esta regla debe estar arriba, yo la pongo aquí para que la entiendas. # si no la pones arriba, la anterior instruccion te dará error. iptables -n PUERTOS iptables -A PUERTOS -p tcp --dport 25 -j ACCEPT iptables -A PUERTOS -p tcp --dport 80 -j ACCEPT iptables -A PUERTOS -p tcp --dport 110 -j ACCEPT iptables -A PUERTOS -p tcp --dport 443 -j ACCEPT alguna vez vi corriendo esto en iptables y el unico problema que habían como 10 equipos de que salían a internet sin restricciones de proxy ... con proxy, es otra historia, el subject dice accesos directos. Yo pondría las reglas POP3, POP3s, IMAP y SMTP con forward, en el mismo firewall pongo el proxy, de preferencia SQUID, y las reglas ahora son de INPUT... u otro asunto a través de iptables y habían momentos o lapsus (1 min aprox) en que no había señal para estos equipos lo extraño era que no se producían siempre a la misma hora sino que a horas distintas para cada equipo. Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Algunos optan por descartar paquetes de determinada MAC. :) -- Rodolfo Alcazar Responsable red y datos Deutsche Gesellschaft für Technische Zusammenarbeit (GTZ) GmbH Programa de Apoyo a la Gestión Pública Descentralizada y Lucha Contra La Pobreza - PADEP Av. Sánchez Lima 2226 La Paz, Bolivia Tel: +591 22417628 (121) Fax: +591 22417628 (126) Web: www.padep.org.bo Email: [EMAIL PROTECTED]
pregunta de iptables +dar accesos directos
El día 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo [EMAIL PROTECTED] escribió: Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas: como se pude dar acceso directo a intenet mediante iptables a ciertos equipos de la red Ejemplo para el equipo 192.168.11.15, sin proxy: Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y todo paquete que sale, se acepta: iptables -P INPUT DROP iptables -PF ORWARD DROP iptables -P OUTPUT ACCEPT Antes de que el doc von Brand alegue: usa REJECT!!! alguna vez vi corriendo esto en iptables y el unico problema que habían como 10 equipos de que salían a internet sin restricciones de proxy Puedes hacer proxy transparente, diciéndole al firewall: todo lo que venga desde mi red interna por el puerto 80, que se vaya al puerto 3128 de mi equipo. u otro asunto a través de iptables y habían momentos o lapsus (1 min aprox) en que no había señal para estos equipos lo extraño era que no se producían siempre a la misma hora sino que a horas distintas para cada equipo. Eso es normal, en ciertos proveedores: se les satura el router ADSL del barrio, y empiezan a descartar paquetes. Algunos optan por descartar paquetes de determinada MAC. Eso no debería ser. Generalmente timofónica tiene esa clase de políticas. Saludos, -- Rodrigo Fuentealba http://www.thecodekeeper.net/
Reversa DNS para bloques grandes
Hola a todos, En una red privada estamos utilizando la 172.16.0/19 necesitamos crear la reversa para este bloque, pero vemos que se nos va hacer enrome el named.conf ya que tendríamos que declarar 64 clases, lo que significan declarar la zonas: zone 0.16.172.in-addr.arpa in { type master; file 172.16.0.rev; }; 0.16.172.in-addr.arpa in { type master; file 172.16.1.rev; }; .. hasta llegar a la 172.16.63 La otra forma seria: 16.172.in-addr.arpa in { type master; file 172.16.rev; }; Sin embargo l archive de declaración de reversa se haría también enorme, y además si quiero subnetear una clase X para que la maneje otra area y tenga su propia declaración dns, esto nos complica. Tiene alguna sugerencia de un mejor manejo de bloques grandes a nivel de DNS ?? Gracias. Saludos,
Reversa DNS para bloques grandes
Hola: 2008/10/15 Vida Luz Arista [EMAIL PROTECTED]: Hola a todos, En una red privada estamos utilizando la 172.16.0/19 necesitamos crear la reversa para este bloque, pero vemos que se nos va hacer enrome el named.conf ya que tendríamos que declarar 64 clases, lo que significan declarar la zonas: Que un named.conf tenga 64 zonas no es para nada un problema (a lo más de administración). Un hosting grande puede tener miles sin problemas. De todas maneras es gusto personal. Yo te recomendaría que tomaras el camino de las 64 zonas distintas y si estas usando bind, puedes utilizar la directiva $GENERATE que itera como en un ciclo con lo que desees repetir. Puedes ver el siguiente link para más detalles: http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch06.html#id2566761 Atte. CR -- Cristian Rojas R. [EMAIL PROTECTED]