Iptables
Pedro GM
saxeusgm en gmail.com
Lun Abr 27 15:31:44 CLT 2009
El lun, 27-04-2009 a las 15:16 -0400, Juan Andres Ramirez escribió:
> Hola listeros:
> Veamos algo mal tengo en el orden de las reglas iptables porque
> al tratar de bloquear una ip publica no pasa nada:
>
> ## ESTABLECEMOS POLITICA POR DEFECTO
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>
> #DEJAMOS LIBRES LAS CONECCIONES LOCALES
> iptables -A INPUT -i lo -j ACCEPT
>
> #TENEMOS ACCESO A LA RED DESDE LA INTERFACE bond0
> iptables -A INPUT -s 192.168.100.0/24 -i bond0 -j ACCEPT
>
> #ACCESO A WEB
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT
> # ACCESOS A HTTPS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT
>
> # Aceptamos que consulten los DNS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p udp --dport 53 -j ACCEPT
>
> #CERRAMOS EL RESTO DE LOS PUERTOS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -j DROP
>
>
> Esto no esta funcionando...no bloquea la ip que le especifico,
>
> #Bloqueo a direccion ip cualquiera
> iptables -A FORWARD -s 200.29.182.140 -j REJECT
>
> Probe tambien con:
> iptables -A FORWARD -s 200.29.182.140 -p TCP --dport 80 -j REJECT
>
> Ahora si cambio la linea : iptables -A FORWARD -s 192.168.100.0/24 -i
> bond0 -p tcp --dport 80 -j ACCEPT por REJECT, efectivamente bloquea
> la navegacion por web.
> Cualquier tips lo agradeceria.
segun lo que entendi seria algo asi tu implementacion
RED INTERNA <----- ||FW || bond0 <-------- RED EXTERNA
lo que me parece es que el -s 192.168.100.0/24 , indica una red privada,
hay algun proxy delante del cortafuegos?? ( en 192.168.100.0)
ya que si dices que si la regla FORWARD con origen 192.168.100.0/24 la
cambias por REJECT te bloquea el trafico web(y de paso todo el trafico
que venga de esa red) y directamente dando la ip publica (200.x.x....)
no pasa nada.
Corrijeme si entendi mal tu caso... y que hay detras y delante del fw...
--
::Pedro::GM::
User #397462
http://counter.li.org
Más información sobre la lista de distribución Linux