[eside-ghost] IPTables
Pablo Garaizar Sagarminaga
garaizar en eside.deusto.es
Jue Mayo 24 10:44:56 CEST 2007
Aupa!
El Thu, 24 May 2007 10:39:05 +0200
"exar khun" <exar.khun.daimus en gmail.com> comentaba:
> 3.- permitir la entrada de paquetes 'de vuelta'. Vale, es cierto que
> podría poner un -p all o incluso sin -p pero me queda más claro.
> iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j
> ACCEPT && echo "Regla Entrada conexiones TCP"
> iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j
> ACCEPT && echo "Regla Entrada conexiones UDP"
> iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
> ACCEPT && echo "Regla Entrada para ICMP"
No es lo mismo poner estos 3 que poner "all", hay más protocolos IP que
estos 3.
> 4.- permitir la salida de paquetes DNS(aunque haya programas como dig
> que lo hagan por tcp lo normal es por udp). ¿ El ESTABLISHED tiene
> sentido aquí ?
> iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED
> -j ACCEPT && echo "Regla Salida datagramas UDP: DNS (UDP:53)"
Más que "lo normal", el tema está en que pasen de 512 bytes de
respuesta o no.
> mi ip. Y si quito el iptables me da id alta. Con lo cual 'hábilmente'
> deduzco que el motivo es el iptables, claro que no tengo ni la más
> remota idea de que puedo estar dejándome.
> Alguna idea?
Así sin mirarlo mucho, creo que los paquetes de vuelta que sean RELATED
hay que dejarlos pasar.
--
Pablo Garaizar Sagarminaga
ONTE (Oficina de Nuevas Tecnologías y Educación)
Universidad de Deusto
Avda. de las Universidades 24
48007 Bilbao - Spain
Phone: +34-94-4139000 Ext 2980
Fax: +34-94-4139101
Web: http://onte.eside.deusto.es
Más información sobre la lista de distribución eside-ghost