Iptables

[Juan Martínez]

Juan Andres Ramirez escribió:
> Hola listeros:
>      Veamos algo mal tengo en el orden de las reglas iptables porque
> al tratar de bloquear una ip publica no pasa nada:
>
> ## ESTABLECEMOS POLITICA POR DEFECTO
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>   

Mala Politica. Generalmente se debe aceptar todo lo saliente y el resto 
se deja en DROP (o REJECT, dependiendo de tu credo religioso)

> [...]
>
> #ACCESO A WEB
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 80 -j ACCEPT
> # ACCESOS A HTTPS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 443 -j ACCEPT
>
> # Aceptamos que consulten los DNS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -p udp --dport 53 -j ACCEPT
>
> #CERRAMOS EL RESTO DE LOS PUERTOS
> iptables -A FORWARD -s 192.168.100.0/24 -i bond0 -j DROP
>   

Si usaras una politica como la que menciono arriba, esta regla tan fea 
no seria necesaria.

> Esto no esta funcionando...no bloquea la ip que le especifico,
>
> #Bloqueo a direccion ip cualquiera
> iptables -A FORWARD -s 200.29.182.140 -j REJECT
>   

Por casualidad esta direccion que intentas bloquear, la estas accesando 
por el puerto 80?

Ojo, digo intentando, ya que está en el lugar incorrecto, primero por 
que deberia estar antes de dar acceso a otras cosas y luego por que la 
direccion es de Destino y no de origen, por lo que debes usar '-d 
200.27.182.140'.

-- 
Juan Martinez G.                   Mac Iver # 370
Departamento de Informatica        4997900 - 4997934
Universidad Miguel de Cervantes    Santiago - Chile