Iptables

Juan Andres Ramirez jandresaedo en gmail.com
Lun Abr 27 15:50:19 CLT 2009


2009/4/27 Pedro GM <saxeusgm en gmail.com>:
> El lun, 27-04-2009 a las 15:16 -0400, Juan Andres Ramirez escribió:
>> Hola listeros:
>>      Veamos algo mal tengo en el orden de las reglas iptables porque
>> al tratar de bloquear una ip publica no pasa nada:
>>
>> ## ESTABLECEMOS POLITICA POR DEFECTO
>> iptables -P INPUT ACCEPT
>> iptables -P OUTPUT ACCEPT
>> iptables -P FORWARD ACCEPT
>>
>> #DEJAMOS LIBRES LAS CONECCIONES LOCALES
>> iptables -A INPUT -i lo -j ACCEPT
>>
>> #TENEMOS ACCESO A LA RED DESDE LA INTERFACE bond0
>> iptables -A INPUT -s 192.168.100.0/24 -i bond0 -j ACCEPT
>>
>> #ACCESO A WEB
>> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT
>> # ACCESOS A HTTPS
>> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT
>>
>> # Aceptamos que consulten los DNS
>> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 53 -j ACCEPT
>> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p udp --dport 53 -j ACCEPT
>>
>> #CERRAMOS EL RESTO DE LOS PUERTOS
>> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -j DROP
>>
>>
>> Esto no esta funcionando...no bloquea la ip que le especifico,
>>
>> #Bloqueo a direccion ip cualquiera
>> iptables -A FORWARD -s 200.29.182.140 -j REJECT
>>
>> Probe tambien con:
>> iptables -A FORWARD -s 200.29.182.140 -p TCP --dport 80 -j REJECT
>>
>> Ahora si cambio la linea : iptables -A FORWARD -s 192.168.100.0/24 -i
>> bond0 -p tcp --dport 80 -j ACCEPT  por REJECT, efectivamente bloquea
>> la navegacion por web.
>> Cualquier tips lo agradeceria.
>
> segun lo que entendi seria algo asi tu implementacion
>
>
> RED INTERNA <----- ||FW || bond0 <-------- RED EXTERNA

RED INTERNA <------bond0 || FW || bond1 <-------RED EXTERNA

>
> lo que me parece es que el -s 192.168.100.0/24 , indica una red privada,
> hay algun proxy delante del cortafuegos?? ( en 192.168.100.0)
>

Si si perdon, me equivoque en esto, la regla es asi:

iptables -A FORWARD -d 200.29.182.140  -p tcp --dport 80 -j REJECT
iptables -A FORWARD -d 200.29.182.140 -j REJECT

Cualquiera de las 2 no funciona.

> ya que si dices que si la regla FORWARD con origen 192.168.100.0/24 la
> cambias por REJECT te bloquea el trafico web(y de paso todo el trafico
> que venga de esa red) y directamente dando la ip publica (200.x.x....)
> no pasa nada.
>
> Corrijeme si entendi mal tu caso... y que hay detras y delante del fw...
>

al principio del archivo para establecer las reglas esta :

#ACCESO A WEB
iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT
# ACCESOS A HTTPS
iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT

Mas abajo despues agrego la regla para bloquear un dominio X, a modo de ejemplo:

iptables -A FORWARD -d 200.29.182.140 -j REJECT

esto no funciona, accedo igual a la ip.

Pero si cambio la primera regla:
iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j
REJECT , efectivamente bloquea la red interna para que tenga web.


Espero que halla sido mas claro ahora.

>
> --
> ::Pedro::GM::
> User #397462
> http://counter.li.org
>
>
>



Más información sobre la lista de distribución Linux