[eside-ghost] IPTables
exar khun
exar.khun.daimus en gmail.com
Jue Mayo 24 12:51:45 CEST 2007
El 24/05/07, Alvaro Uría <fermat en movimage.com> escribió:
> exar khun [24/05/07 10:39 +0200] escribió:
> > 3.- permitir la entrada de paquetes 'de vuelta'. Vale, es cierto que
> > podría poner un -p all o incluso sin -p pero me queda más claro.
> > iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j
> > ACCEPT && echo "Regla Entrada conexiones TCP"
> > iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j
> > ACCEPT && echo "Regla Entrada conexiones UDP"
> > iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j
> > ACCEPT && echo "Regla Entrada para ICMP"
>
> ¿Igual hacer lo mismo para las OUTPUT?
>
> Si no, te hará falta una regla de OUTPUT cada vez.
Es una opción. Pero mi intención era cerrar toda la entrada salvo las
vueltas, y dejar salir solo lo que a mi me interesa que salga(amos las
peticiones de los programas que use). El caso de la mula es especial,
xq no me interesa atesorar, sino compartir con lo cual también habría
que abrir cosas en la entrada a parte de las vueltas, ya que tiene que
aceptar conexiones NEW.
Me acaba de asaltar una duda. Las reglas del iptables... las comprueba
todas o es en plan hasta que una cumpla? porque si fuera este último
caso, igual las INPUT del principio me están haciendo la pirula(que
solo dejan entrar ESTABLISHED y RELATED)!
> > 6.- ahora viene cuando la matan, lo de arriba funciona way peeero el
> > problema son las reglas de la mula.
>
> > # * 4662 TCP (outgoing and incoming): Client to client transfers.
> > iptables -A INPUT -p tcp --dport 4662 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Entrada paquetes TCP:
> > aMule (:4662)"
> > iptables -A OUTPUT -p tcp --dport 4662 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Salida paquetes TCP:
> > aMule (:4662)"
>
> En la de OUTPUT igual querías poner "--sport 4662" :-?
No creo. La idea, entiendo yo, es que tanto mi puerto(al que se
conectan para coger) como al que me conecto yo(al que me conecto yo
para coger) sea el 4662, segun el tcpdump, cuando hace peticiones a un
4662 el puerto de mi máquina desde el que se lanza es del pelo de
19000 y pico. pero vamos.. es lo que yo entiendo, que es al que no le
funciona.. xD vaya usté a saber cuanta razón tengo.
>
> > # * 4672 UDP (outgoing and incoming): Extended eMule protocol,
> > Queue Rating, File Reask Ping, Kad.
> > # Kad will be 'firewalled' if
> > NAT (Network Address Translation) remaps this port number.
> > iptables -A INPUT -p udp --dport 4672 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Entrada datagramas
> > UDP: aMule (:4672)"
> > iptables -A OUTPUT -p udp --dport 4672 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Salida datagramas
> > UDP: aMule (:4672)"
>
> Igual: "--sport 4672" :?
>
> > # * 4665 UDP (outgoing and incoming): Used for global server
> > searches and global source queries. (Client TCP port + 3)
> > iptables -A INPUT -p udp --dport 4665 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Entrada datagramas
> > UDP: aMule (:4665)"
> > iptables -A OUTPUT -p udp --dport 4665 -m state --state
> > NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Salida datagramas
> > UDP: aMule (:4665)"
>
> "--sport 4665" :?
>
> Suerte,
> --
> ,____________,
> .' '.
> /~~~~^~~~^~^~~~\
> / _ /|| \ Alvaro Uría (0x5109E791)
> ; ( } \||D ; <fermat at movimage.com>
> | | /\__,=[_] |
> ; ( |_\_ |---| ; It might look like I'm doing nothing, but
> \ )| |/ | | / at the cellular level I'm really quite busy.
> '. | /_ | |.'
> '------------'
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
>
> iD8DBQFGVVt7hmMlEVEJ55ERAm/YAJ9Rwiw5hiv/jxCm8f+RY508bKG1HgCeIegP
> D2CAn0wCZnBLwndval0Z3Ak=
> =WO3V
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
Más información sobre la lista de distribución eside-ghost