consulta acerca de iptables

Etienne Melian etienne en codis.cl
Mar Feb 24 08:46:52 CLST 2015


estimados Victor Hugo dos Santos & Felipe Roman.
muchas gracias por sus respuestas.
corregire las reglas y las cargare en el /etc/rc.local y reiniciare el
servidor para que parta bloqueando todas las conexiones y no quede ninguna
tomada desde antes.
aprovechando el impulso, quisiera consultarles.
¿se puede o es recomendable bloquear rango algo de puertos?
ejemplo:
desde el 40.000 al 59.999?
(consulto esto porque ayer tambien me aparecian varios puertos aleatorios
sobre el 43.000 y eran los que estaban mostrando la mayor actividad en el
iptraf).

la consulta puntual es si es recomendable una regla que afecte tantos
puertos (sobre 10.000).
saludos.
Etienne.

On Mon, February 23, 2015 9:59 pm, Victor Hugo dos Santos wrote:
> Hola,
>
>
> en este caso, no debes de usar INPUT/OUTPUT.. debes de usar FORWARD. ojo,
> que las conexciones activas, quedaran aun funcionando.. solo se bloqueara
> las nuevas conexciones.
>
> salu2
>
> 2015-02-23 20:50 GMT-03:00 Etienne Melián A. <etienne en codis.cl>:
>
>> Estimados señores.
>>
>>
>> Junto con saludar a cada uno de ustedes, y agradeciendo de antemano la
>> ayuda y comentarios, quisiera preguntar lo siguiente.
>>
>> Resulta que administro una red local, con un servidor centos.
>>
>>
>> El reparte internet de forma directa, por medio de iptables (sin
>> squid).
>>
>> Todo ha funcionado bien. Usuarios serios y trabajadores. No mayor
>> preocupación por mal uso del ancho de banda.
>>
>> Pero justo hoy, se me cae el enlace completo, y era porque alguien se
>> chupaba el ancho de banda todito todito.
>>
>> Iptraf acusó a la ip .0.162, descargando desde 31.216.144.39, .37,
>> .24, .23
>> etc, etc. y también .145.24 …
>>
>> Cuento corto, cargue una regla para bloquear el segmento.
>>
>>
>> Primero directamente en la consola ….  NADA
>>
>>
>> Luego la cargue en el /etc/rc.local …. NADA
>>
>>
>> No me bloqueaba ni la ip local, ni tampoco el segmento de ips.
>>
>>
>> Iptables lo dejaba pasar igual.
>>
>>
>> ¿a qué se puede deber que iptables no considere las reglas que uno le
>>  indica?
>>
>>
>>
>> Estas son las reglas que cargué:
>>
>>
>> /sbin/iptables -i eth0 -A INPUT -s 31.216.0.0/16 -j DROP
>>
>>
>> /sbin/iptables -i eth0 -A OUTPUT -s 31.216.0.0/16 -j DROP
>>
>>
>>
>>
>> /sbin/iptables -i eth1 -A INPUT -s 192.168.0.162 -j DROP
>>
>>
>> /sbin/iptables -i eth1 -A OUTPUT -s 192.168.0.162 -j DROP
>>
>>
>>
>>
>> Muchas gracias nuevamente.
>>
>>
>> Saludos.
>>
>>
>>
>>
>> Sin otro particular, se despide atentamente:
>>
>>
>> Etienne Orlando Melián Alvarez
>>
>>
>
>
>
> --
> --
> Victor Hugo dos Santos
> http://www.vhsantos.net
> Linux Counter #224399
>
>




Más información sobre la lista de distribución Linux