[eside-ghost] IPTables

exar khun exar.khun.daimus en gmail.com
Jue Mayo 24 13:51:25 CEST 2007 

El 24/05/07, Alvaro Uría <fermat en movimage.com> escribió:
> Epa,
>
> exar khun [24/05/07 12:51 +0200] escribió:
> > Me acaba de asaltar una duda. Las reglas del iptables... las comprueba
> > todas o es en plan hasta que una cumpla? porque si fuera este último
> > caso, igual las INPUT del principio me están haciendo la pirula(que
> > solo dejan entrar ESTABLISHED y RELATED)!
>
> Hasta que se cumpla. Pero si en la regla del principio no has puesto que
> coincida con estado NEW, y es ese el estado que tiene... entonces no va
> a coincidir.
>
> > >> 6.- ahora viene cuando la matan, lo de arriba funciona way peeero el
> > >> problema son las reglas de la mula.
> > >
> > >> #     * 4662 TCP (outgoing and incoming): Client to client transfers.
> > >> iptables -A INPUT -p tcp --dport 4662 -m state --state
> > >> NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Entrada paquetes TCP:
> > >> aMule (:4662)"
> > >> iptables -A OUTPUT -p tcp --dport 4662 -m state --state
> > >> NEW,ESTABLISHED,RELATED -j ACCEPT && echo "Regla Salida paquetes TCP:
> > >> aMule (:4662)"
> > >
> > >En la de OUTPUT igual querías poner "--sport 4662" :-?
> >
> > No creo. La idea, entiendo yo, es que tanto mi puerto(al que se
> > conectan para coger) como al que me conecto yo(al que me conecto yo
> > para coger) sea el 4662, segun el tcpdump, cuando hace peticiones a un
> > 4662 el puerto de mi máquina desde el que se lanza es del pelo de
> > 19000 y pico. pero vamos.. es lo que yo entiendo, que es al que no le
> > funciona.. xD vaya usté a saber cuanta razón tengo.
>
> Entonces las 2.
>
> La movida es que cuando llegan los paquetes al 4662, se procesa, y luego
> esa conexión activa quiere responder... pero IPTables le bloquea (por
> haber política a DROP).
>
> La que yo digo "--sport tal" es sólo para conexiones
> establecidas/relacionadas.
Va a ser eso.. no se ni como me hago llamar ingeniero.. xD luego lo
pruebo y ya os contare, graciassss
>
> Si además, se conecta a esos puertos ajenos, pues regla al canto (con
> estado NEW incluído).
>
> Suerte ahí,
> --
>     ,____________,
>     .'          '.
>    /~~~~^~~~^~^~~~\
>   /      _    /||  \  Alvaro Uría (0x5109E791)
>  ;      ( }   \||D  ;  <fermat at movimage.com>
>  |    | /\__,=[_]   |
>  ;  ( |_\_  |---|   ;  It might look like I'm doing nothing, but
>   \  )|  |/ |   |  /    at the cellular level I'm really quite busy.
>    '. |  /_ |   |.'
>     '------------'
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
>
> iD8DBQFGVXRxhmMlEVEJ55ERAqUfAKCkY+dYy1O5NcE9rCZ4Sb9kVs7rYgCeMZf1
> zO8nF7WtdlLzcY8s4CxUeVs=
> =a2Lq
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>

Más información sobre la lista de distribución eside-ghost