pregunta de iptables +dar accesos directos

Rodolfo Alcazar Portillo rodolfo.alcazar en padep.org.bo
Mie Oct 15 08:30:02 CLST 2008 

Am Dienstag, den 14.10.2008, 17:41 -0400 schrieb yrojas:
> como se pude dar acceso directo a intenet mediante iptables a ciertos 
> equipos de la red

Ejemplo para el equipo 192.168.11.15, sin proxy:

Las cadenas de entrada y de paso, por defecto, descartan paquetes. Y
todo paquete que sale, se acepta:

iptables -P INPUT DROP
iptables -PF ORWARD DROP
iptables -P OUTPUT ACCEPT

Siempre aceptas, al principio de las reglas FORWARD, las conexiones que
ya están establecidas:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Luego, si quieres dar acceso por todos los puertos:

iptables -A FORWARD -s 192.168.11.15 -j ACCEPT

O si quieres dar acceso solo por los puertos HTTP, HTTPs, pop3 y SMTP:

iptables -A FORWARD -s 192.168.11.15 -j PUERTOS

y antes creas la cadena PUERTOS:

# esta regla debe estar arriba, yo la pongo aquí para que la entiendas.
# si no la pones arriba, la anterior instruccion te dará error.
iptables -n PUERTOS

iptables -A PUERTOS -p tcp --dport 25 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 80 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 110 -j ACCEPT
iptables -A PUERTOS -p tcp --dport 443 -j ACCEPT

> alguna vez vi corriendo esto en iptables y el unico problema que habían 
> como 10 equipos de que salían a internet sin restricciones de proxy

... con proxy, es otra historia, el subject dice "accesos directos". Yo
pondría las reglas POP3, POP3s, IMAP y SMTP con forward, en el mismo
firewall pongo el proxy, de preferencia SQUID, y las reglas ahora son de
INPUT... 

>  u 
> otro asunto a través de iptables y habían momentos o lapsus (1 min 
> aprox) en que no había señal para estos equipos lo extraño era que no se 
> producían siempre a la misma hora sino que a horas distintas para cada 
> equipo.

Eso es normal, en ciertos proveedores: se les satura el router ADSL del
barrio, y empiezan a descartar paquetes. Algunos optan por  descartar
paquetes de determinada MAC.

:)
-- 
Rodolfo Alcazar
Responsable red y datos

Deutsche Gesellschaft für
Technische Zusammenarbeit (GTZ) GmbH

Programa de Apoyo a la Gestión Pública Descentralizada y
Lucha Contra La Pobreza - PADEP
Av. Sánchez Lima 2226
La Paz, Bolivia

Tel: +591 22417628 (121)
Fax: +591 22417628 (126)
Web: www.padep.org.bo
Email: rodolfo.alcazar at padep.org.bo

Más información sobre la lista de distribución Linux