[eside-ghost] sopitas con iptables
Alvaro Uria
alvaro.uria en opendeusto.es
Lun Feb 7 21:13:42 CET 2011
Aupi,
Lo primero de todo, te recomendaría que metieras algunas reglas de LOG
al principio de tu script:
iptables -t nat -I PREROUTING -j LOG --log-level warn --log-prefix "[*]PRE=> "
iptables -I FORWARD -j LOG --log-level warn --log-prefix "[*]FWD=> "
Puedes ver las trazas en /var/log/kern.log (o /var/log/syslog).
También te recomiendo echar un vistazo a este esquema (primera imagen
en google images O:-):
http://danielmiessler.com/images/DM_NF.PNG
Básicamente, los NATeos se hacen vía "-t nat -A PREROUTING", "-t
filter -A FORWARD" y "-t nat -A POSTROUTING".
El día 6 de febrero de 2011 06:01, Mario Nunes
<mario en pensandoenred.com> escribió:
[...]
> Script para iptables:
>
> #!/bin/bash
[...]
> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
> iptables -P INPUT DROP || fail=1
> iptables -P OUTPUT ACCEPT || fail=1
Siendo la política de OUTPUT a ACCEPT, no necesitas meter ninguna
regla de OUTPUT.
> iptables -P FORWARD DROP || fail=1
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ||
> fail=1
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ||
> fail=1
Esta no haría falta, porque ya aceptas conexiones por defecto.
> # Permitimos todo el tráfico de la lan
> iptables -A INPUT -i $INIF -j ACCEPT || fail=1
>
> # Marcar paquetes salientes con su ip de origen
> #iptables -t nat -A POSTROUTING -o $EXIF -j MASQUERADE || fail=1
Esta regla (de POSTROUTING) debería estar descomentada, para poder
hacer el NATeo en sí.
Por lo demás, me parece todo correcto.
Saludos,
Alvaro.
Más información sobre la lista de distribución eside-ghost