Resultados 1 al 8 de 8

Iptables, Problema

  1. #1 Iptables, Problema 
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    No se me ocurrio poner otro titulo mejor lo siento :S

    Bien, tengo el siguiente problema, nunca se me ha facilitado tanto configurar Iptables con firestarter.

    Pero esta vez tengo un problema que no he sabido como solucionar, desde el Opera intento hacer una conexion hacia https://host.net:2083

    Bien, para poder habilitar la comunicacion hacia ese puerto me fui a firestarter, e hice esto:

    Normativa de trafico saliente:

    Permitir Servicio | Puerto | Para

    Desconocido | 2083 | host.net
    HTTPS | 443 | everyone

    Normativa de trafico entrante:

    Permitir Servicio | Puerto | Para

    Desconocido | 2083 | host.net
    HTTPS | 443 | everyone

    El problema es que si especifico el " Para " es decir, pongo la dirección de IP, de host.net no me funciona mientras que si pongo, que lo habilite para cualquiera sí.

    Pregunta: ¿ Qué ventaja o desventaja me hace poner la dirección de IP especifica - con la que no está funcionando ahora - o poner para "everyone" ?

    De paso cañaso xD en trafico saliente, como tengo que hacer algunas cosas por ftp, puse que lo habilite, pero en vez de poner " para " everyone, puse " firewall del host " lo cual, no he notado la diferencia, ya que la ignoro, alguien me la puede explicar ? :S

    No sé si estoy siendo claro :S pero Desde ya muchas gracias como siempre

    Saludos,
    Cypress
    Última edición por Cypress; 08-10-2007 a las 02:41
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    La ventaja es que restringe más el número de lugares legítimos desde los que acceder a tu máquina.

    Pero ten en cuenta que si tú sales hacia un puerto no significa que la conexión entre a tu máquina por ese puerto. Normalmente el otro equipo conectará al tuyo por otro puerto distinto, cuyo número será elegido de forma aleatoria, por lo que la regla a crear no es "entrantes desde tal host a tal puerto", sino "entrantes desde conexiones ya establecidas en solicitudes salientes". No conozco ese programa, pero tiene que presentar esa opción.

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    Tenes razón !! ya funciona

    Está la opcion " Permitr las conexiones desde el host "

    Aunque yo sé con un script que vos hiciste desde 0, configuraste iptables , te paso algo de info sobre firestarter

    Cita Iniciado por wikipedia
    Firestarter es una herramienta de cortafuegos personal libre y de código abierto que usa el sistema (iptables/ipchains) Netfilter incluido en el kernel Linux. Firestarter posee una interfaz gráfica para configurar reglas de cortafuegos y otras opciones. También monitoriza en tiempo real todo el tráfico de red del sistema, además de facilitar el redireccionamiento de puertos, compartir la conexión a internet y el servicio DHCP.

    Firestarter está licenciado bajo la GNU General Public License.
    Firestarter escribe directo sobre iptables

    http://www.kriptopolis.org/firestarter /=== ahí hay bastante info.

    y de paso.. otra pregunta, estuve toqueteando desde la terminal, para que mi maquina no responda al ping, con:

    Código:
    /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    pero para mi poco feliz descubrimiento, ahora no solo no responde a cualquier envio de paquetes icmp hacia mi maquina, sino que:
    Código:
    cypress@cyp-desk:~$ ping hackhispano.com
    PING hackhispano.com (83.175.204.201) 56(84) bytes of data.
    
    --- hackhispano.com ping statistics ---
    11 packets transmitted, 0 received, 100% packet loss, time 10010ms
    
    cypress@cyp-desk:~$ ping google.com
    PING google.com (72.14.207.99) 56(84) bytes of data.
    
    --- google.com ping statistics ---
    9 packets transmitted, 0 received, 100% packet loss, time 7999ms
    No me hace ningun ping a ningun lado !! cómo arreglo esto ? :_(

    Saludos,
    Cypress

    p.s y nuevamente gracias
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Gracias por el enlace

    Yo he usado fwbuilder alguna vez y me gustó bastante (pero sigo prefiriendo simplificar al máximo las reglas)

    No me hace ningun ping a ningun lado !! cómo arreglo esto ? :_(
    lol, es que ahora no es que no respondas a nadie, sino que ignoras las respuestas de todo el mundo. Sólo tienes que volverlo a su estado original con:
    Código:
    /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  5. #5  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    ya lo arregle, pero no me funciono con

    Código:
    /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    Lo meti desde firestarter, puse que acepte ping y pong

    Pero lo que yo realmente queiro, es que mi maquina no responda al Ping de otras personas, sin embargo que me permita a mi hacer y ver el ping/pong hacia otras maquinas, no creo estar pidiendo mucho esto se puede ?

    ahora, se me ha generado un problema, y no sé proque, - creo que por meter tanta mano xD -

    Código:
    root@cyp-desk:/home/cypress# /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore
    bash: /proc/sys/net/ipv4/icmp_echo_ignore: No existe el fichero ó directorio
    root@cyp-desk:/home/cypress#
    :S esto me está confundiendo :S hasta hace unos segundos funcionaba xD

    esto puede ser debido a firestarter ?

    Saludos
    Última edición por Cypress; 10-10-2007 a las 17:36
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  6. #6  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    te falta "_all"

    Es decir, en lugar de poner 0 en el archivo /proc/sys/net/ipv4/icmp_echo_ignore_all lo estás haciendo en el archivo /proc/sys/net/ipv4/icmp_echo_ignore

    Aún así es extraño que te dé el error (mejor para tí si te lo ha dado), ya que normalmente lo que hace es crear el nuevo archivo, teniendo así dos: el original sin haber sido modificado y uno nuevo que el sistema ignorará y no tendrá efecto alguno sobre él.

    Si lo que quieres es que tu máquina no responda al ping puedes probar con la siguiente regla (a mano ; ):
    Código:
    iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  7. #7  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    Uff.. me doy cuenta que ahora iptables sigue solo las reglas especificadas en firestarter :@

    ya que cualquier regla que aplico directamente en iptables no funciona :'(

    Código:
    root@cyp-desk:/home/cypress# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    root@cyp-desk:/home/cypress# iptables -L
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 
    ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply limit: avg 1/sec burst 5 
    root@cyp-desk:/home/cypress#
    ahora sí que estoy jodido.. voy a navegar un rato más a ver cómo arreglo esto.

    Muchas gracias j8 you rocks !

    Saludos.
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  8. #8  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Eso es muy probablemente debido a que alguna regla ya existente prevalece sobre las que añades manualmente.

    Tienes dos opciones:
    -Adaptarte a la interfaz (firestarter) y buscar las cosas que quieres hacer en ella
    -Editar manualmente las reglas de cortafuegos.

    Si te decantas por la segunda opción has de saber que hay muy buenos manuales y que iptables es mucho más amigable de lo que en un principìo pudiera parecer.

    PD: Gracias Cypress, todo un halago

    Salu2


    Keep on Rollin'

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Analizador de archivos iptables
    Por Cypress en el foro LINUX - MAC - OTROS
    Respuestas: 0
    Último mensaje: 06-03-2015, 14:03
  2. Host filtro con iptables
    Por biyonder en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 21-02-2012, 10:36
  3. Redirección con iptables
    Por Atreides en el foro LINUX - MAC - OTROS
    Respuestas: 2
    Último mensaje: 28-08-2011, 01:33
  4. Principiante en iptables
    Por foxwar en el foro GENERAL
    Respuestas: 1
    Último mensaje: 28-10-2008, 15:26
  5. pfSense + Iptables.
    Por delyryus en el foro LINUX - MAC - OTROS
    Respuestas: 2
    Último mensaje: 25-08-2008, 15:39

Marcadores

Marcadores