Re: Levantando iptables para un usuario común

[Horst H. von Brand]

Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> 2006/12/6, javier ormeño <ormeno.javier en gmail.com>:
> >
> > Hasta el momento he ejecutado el script en una sesión ya abierta sin
> > tener ningún problema con las aplicaciones típicas. Ahora estoy a
> > punto de tirarla para correr al inicio.
> 
> > me quedan unas dudas relacionadas
> > ¿no debería haber un iptable (o chain) que bote todos las solicitudes
> > no iniciadas por mi?

> Depende de la política de conexión, yo en mi script tengo esto:
> 
> echo -n "Acercandose al Final: "
> # Aceptamos paquetes de una conexión ya establecida
> $IPTABLES -A INPUT -p TCP -m state --state RELATED -j ACCEPT
> 
> # Rechazamos los de conexiones nuevas
> $IPTABLES -A INPUT -i $EXT -m state --state NEW,INVALID -j DROP

Cuantas &%$#@s veces hay que decir que /nunca/, /jamas de los jamases/ se
usa DROP?! Usa REJECT! Ponlo como politica de la cadena, y te ahorras un
engendro similar a esto.


Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
erradas en la cabeza.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513