[eside-ghost] Preguntas de un novato de Iptables

[Javier Ortega Conde (Malkavian)]

Aupa eghosters:

Estoy poniéndome con mi Pentium III 500Mhz 512Mb RAM que hace de servidor 
web, ssh y mldonkey, para que sea también un router-firewall-qos-dns.

Para el router-firewall-qos ando con unos scripts prefabricados que no se 
si saqué de esta lista o de alguna web y me surgen unas dudillas:

1- Teniendo en cuenta que tengo esta regla que se ejecuta antes:
$IPTABLES -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
¿Necesitaría aplicar esta regla a los puertos que uso para enviar y 
recibir correo desde kmail?:
$IPTABLES -A LAN_INPUT -m state --state NEW -p tcp --dport $PORT -j ACCEPT

Creo que no, puesto que esas conexiones se iniciarán desde mi máquina y 
por tanto ya entrarán en la categoría "RELATED,ESTABLISHED" y no en "NEW". 
¿Me equivoco? ¿Me estoy haciendo la picha un lío?


2- Estoy pensando en cerrar todos los puertos del 1 al 1024 excepto los 
que yo especifique y abrir todos del 1025 al 65535 para evitarme líos. ¿Os 
parece que es correcto o que debería cambiar algo?


3- En cuanto al NAT, necesitaría que los puertos 22, 80, 443 y pocos más 
vayan a la máquina que hace de router-firewall. Pero quiero que todos los 
demás se redirijan a otra máquina que es con la que trabajo para evitarme 
líos al recibir de archivos por mensajería instantánea, juegos o que se 
yo... Tengo sólo esta regla de NAT (LAN_NM es la máscara de red de la LAN, 
lo demás creo que se entiende):

$IPTABLES -t nat -A POSTROUTING -s $LAN_NM -o $INET_IFACE -j SNAT --to-
source $INET_IP

Que entiendo que es sólo para los paquetes que salen de mi LAN hacia 
fuera. Supongo que debería añadir estas reglas NAT para que funcione como 
quiero, ¿no? (192.168.0.2 es mi ordenador principal):
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m multiport --dports 
1:21,23:79,81:442,444:1024,1025:65535 -j DNAT --to 192.168.0.2
Y lo que corresponda para UDP...

En cuanto a forward sólo tengo esto:
echo "1" > /proc/sys/net/ipv4/ip_forward
No se si hará falta por tanto una regla tal que así:
$IPTABLES -A FORWARD -p tcp -i $INET_IFACE -j ACCEPT

Y supongo que para los puertos 22, 80 y demás no hay que hacer nada pues 
ya llegan a la máquina router y si no digo nada, ella se los queda...

-- 
	Agur: Javier Ortega Conde (Malkavian)
------------------------------------------------------------------------
La página de Malkavian: De todo un poco http://malkavian.homelinux.org
Miembro del Grupo de LinUxuarios de Bizkaia (GLUB)     http://glub.biz
Miembro de Eghost, Itsas, Ether, GULA, GLUGI, Guardianes del Túmulo... 
------------------------------------------------------------------------
Error de Windows- Win no puede cargarse el sistema.



------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20090504/f41e4fd4/attachment.htm