pregunta de iptables +dar accesos directos

2008-10-15 Por tema Rodolfo Alcazar Portillo 
Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas:
 como se pude dar acceso directo a intenet mediante iptables a ciertos 
 equipos de la red

Ejemplo para el equipo 192.168.11.15, sin proxy:

Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y
todo paquete que sale, se acepta:

iptables -P INPUT DROP
iptables -PF ORWARD DROP
iptables -P OUTPUT ACCEPT

Siempre aceptas, al principio de las reglas FORWARD, las conexiones que
ya están establecidas:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Luego, si quieres dar acceso por todos los puertos:

iptables -A FORWARD -s 192.168.11.15 -j ACCEPT

O si quieres dar acceso solo por los puertos HTTP, HTTPs, pop3 y SMTP:

iptables -A FORWARD -s 192.168.11.15 -j PUERTOS

y antes creas la cadena PUERTOS:

# esta regla debe estar arriba, yo la pongo aquí para que la entiendas.
# si no la pones arriba, la anterior instruccion te dará error.
iptables -n PUERTOS

iptables -A PUERTOS -p tcp --dport 25 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 80 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 110 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 443 -j ACCEPT

 alguna vez vi corriendo esto en iptables y el unico problema que habían 
 como 10 equipos de que salían a internet sin restricciones de proxy

... con proxy, es otra historia, el subject dice accesos directos. Yo
pondría las reglas POP3, POP3s, IMAP y SMTP con forward, en el mismo
firewall pongo el proxy, de preferencia SQUID, y las reglas ahora son de
INPUT... 

  u 
 otro asunto a través de iptables y habían momentos o lapsus (1 min 
 aprox) en que no había señal para estos equipos lo extraño era que no se 
 producían siempre a la misma hora sino que a horas distintas para cada 
 equipo.

Eso es normal, en ciertos proveedores: se les satura el router ADSL del
barrio, y empiezan a descartar paquetes. Algunos optan por  descartar
paquetes de determinada MAC.

:)
-- 
Rodolfo Alcazar
Responsable red y datos

Deutsche Gesellschaft für
Technische Zusammenarbeit (GTZ) GmbH

Programa de Apoyo a la Gestión Pública Descentralizada y
Lucha Contra La Pobreza - PADEP
Av. Sánchez Lima 2226
La Paz, Bolivia

Tel: +591 22417628 (121)
Fax: +591 22417628 (126)
Web: www.padep.org.bo
Email: [EMAIL PROTECTED]

pregunta de iptables +dar accesos directos

2008-10-15 Por tema Rodrigo Fuentealba 
El día 15 de octubre de 2008 7:30, Rodolfo Alcazar Portillo
[EMAIL PROTECTED] escribió:
 Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas:
 como se pude dar acceso directo a intenet mediante iptables a ciertos
 equipos de la red

 Ejemplo para el equipo 192.168.11.15, sin proxy:

 Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y
 todo paquete que sale, se acepta:

 iptables -P INPUT DROP
 iptables -PF ORWARD DROP
 iptables -P OUTPUT ACCEPT

Antes de que el doc von Brand alegue: usa REJECT!!!

 alguna vez vi corriendo esto en iptables y el unico problema que habían
 como 10 equipos de que salían a internet sin restricciones de proxy

Puedes hacer proxy transparente, diciéndole al firewall:

todo lo que venga desde mi red interna por el puerto 80, que se vaya
al puerto 3128 de mi equipo.

  u
 otro asunto a través de iptables y habían momentos o lapsus (1 min
 aprox) en que no había señal para estos equipos lo extraño era que no se
 producían siempre a la misma hora sino que a horas distintas para cada
 equipo.

 Eso es normal, en ciertos proveedores: se les satura el router ADSL del
 barrio, y empiezan a descartar paquetes. Algunos optan por  descartar
 paquetes de determinada MAC.

Eso no debería ser. Generalmente timofónica tiene esa clase de políticas.

Saludos,

-- 
Rodrigo Fuentealba
http://www.thecodekeeper.net/

Reversa DNS para bloques grandes

2008-10-15 Por tema Vida Luz Arista 
Hola a todos,

En una red privada estamos utilizando la 172.16.0/19 necesitamos crear la
reversa para este bloque, pero vemos que se nos va hacer enrome el
named.conf ya que tendríamos que declarar 64 clases, lo que significan
declarar la zonas: 

zone 0.16.172.in-addr.arpa in {
type master;
file 172.16.0.rev;
};

0.16.172.in-addr.arpa in {
type master;
file 172.16.1.rev;
};
.. 

hasta llegar a la 172.16.63

La otra forma seria:

16.172.in-addr.arpa in {
type master;
file 172.16.rev;
};

Sin embargo l archive de declaración de reversa se haría también enorme, y
además si quiero subnetear una clase X para que la maneje otra area y tenga
su propia declaración dns, esto nos complica.

Tiene alguna sugerencia de un mejor manejo de bloques grandes a nivel de DNS
?? 

Gracias.

Saludos,

Reversa DNS para bloques grandes

2008-10-15 Por tema Cristian Rojas R. 
Hola:

2008/10/15 Vida Luz Arista [EMAIL PROTECTED]:
 Hola a todos,

 En una red privada estamos utilizando la 172.16.0/19 necesitamos crear la
 reversa para este bloque, pero vemos que se nos va hacer enrome el
 named.conf ya que tendríamos que declarar 64 clases, lo que significan
 declarar la zonas:

Que un named.conf tenga 64 zonas no es para nada un problema (a lo más
de administración). Un hosting grande puede tener miles sin problemas.
De todas maneras es gusto personal. Yo te recomendaría que tomaras el
camino de las 64 zonas distintas y si estas usando bind, puedes
utilizar la directiva  $GENERATE que itera como en un ciclo con lo que
desees repetir. Puedes ver el siguiente link para más detalles:

http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch06.html#id2566761

Atte.
CR

-- 
Cristian Rojas R. [EMAIL PROTECTED]