[eside-ghost] IPTables

Alvaro Uría fermat en movimage.com
Jue Mayo 24 13:18:09 CEST 2007 

Epa,

exar khun [24/05/07 12:51 +0200] escribió:
> Me acaba de asaltar una duda. Las reglas del iptables... las comprueba
> todas o es en plan hasta que una cumpla? porque si fuera este último
> caso, igual las INPUT del principio me están haciendo la pirula(que
> solo dejan entrar ESTABLISHED y RELATED)!

Hasta que se cumpla. Pero si en la regla del principio no has puesto que
coincida con estado NEW, y es ese el estado que tiene... entonces no va
a coincidir.

> >> 6.- ahora viene cuando la matan, lo de arriba funciona way peeero el
> >> problema son las reglas de la mula.
> >
> >> #     * 4662 TCP (outgoing and incoming): Client to client transfers.
> >> iptables -A INPUT -p tcp --dport 4662 -m state --state
> >> NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Entrada paquetes TCP:
> >> aMule (:4662)"
> >> iptables -A OUTPUT -p tcp --dport 4662 -m state --state
> >> NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Salida paquetes TCP:
> >> aMule (:4662)"
> >
> >En la de OUTPUT igual querías poner "--sport 4662" :-?
> 
> No creo. La idea, entiendo yo, es que tanto mi puerto(al que se
> conectan para coger) como al que me conecto yo(al que me conecto yo
> para coger) sea el 4662, segun el tcpdump, cuando hace peticiones a un
> 4662 el puerto de mi máquina desde el que se lanza es del pelo de
> 19000 y pico. pero vamos.. es lo que yo entiendo, que es al que no le
> funciona.. xD vaya usté a saber cuanta razón tengo.

Entonces las 2.

La movida es que cuando llegan los paquetes al 4662, se procesa, y luego
esa conexión activa quiere responder... pero IPTables le bloquea (por
haber política a DROP).

La que yo digo "--sport tal" es sólo para conexiones
establecidas/relacionadas.

Si además, se conecta a esos puertos ajenos, pues regla al canto (con
estado NEW incluído).

Suerte ahí,
-- 
    ,____________,
    .'          '.
   /~~~~^~~~^~^~~~\
  /      _    /||  \  Alvaro Uría (0x5109E791)
 ;      ( }   \||D  ;  <fermat at movimage.com>
 |    | /\__,=[_]   |  
 ;  ( |_\_  |---|   ;  It might look like I'm doing nothing, but
  \  )|  |/ |   |  /    at the cellular level I'm really quite busy.
   '. |  /_ |   |.'                     
    '------------'
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: Digital signature
Url        : https://listas.deusto.es/mailman/private/eside-ghost/attachments/20070524/128c7798/attachment.bin

Más información sobre la lista de distribución eside-ghost