También puedes usar shorewall como frontend, y él mismo se encarga de el temita de los cambios persistentes y el ip_forward. El 12 de marzo de 2013 14:12, malevolent <malevolent@xxxxxxxx> escribió: > ** > Si no te aclaras mucho con iptables, puedes usar su frontend firewall > builder. Es bastante intuitivo y te compila e instala las reglas > automáticamente en cualquier servidor/granja de servidores, por ssh. > > En todo caso, si quieres capar todo el tráfico saliente menos una IP sería > algo como > > iptables -P OUTPUT DROP > iptables -A OUTPUT -d IP_REMOTA/MASCARA -j ACCEPT > > o si fuera contra un puerto, pon por ejemplo el https > > iptables -I OUTPUT -d IP_REMOTA -p tcp --dport 443 -j ACCEPT > iptables -I INPUT -s IP_REMOTA -p tcp --sport 443 -j ACCEPT > iptables -P INPUT DROP > iptables -P OUTPUT DROP > > Cambiando en ambos casos IP_REMOTA por la IP de destino a la que quieras > que conecten. > Luego tienes que mirar de hacer que los cambios sean persistentes a los > reinicios, y asegurarte que el firewall tenga el ip_forward activado si los > paquetes tienen que ir y volver, que algunas distros lo tienen por defecto > capado y hasta que no das con ello, te vuelves imbécil total. > > Saludos > -- > Malevolent > T: (+34)668.886.837 > E: malevolent@xxxxxxxx <http://mailto:malevolent@xxxxxxxx> > [image: Linkedin] > <https://archlinuxhacks.wordpress.com/><https://archlinuxhacks.wordpress.com/> > [image: > Linkedin] <http://tuxjuegos.tuxfamily.org><http://tuxjuegos.tuxfamily.org/> > [image: > Twitter] <http://twitter.com/#%21/malevolo> > > > ---- Activado Tue, 12 Mar 2013 12:02:05 +0100 *Mia++ < > mhiper3+list.bofhers@xxxxxxxxx>* escribió ---- > > Aquí en el curro las corbatas centrales nos recomiendan no usar > /etc/hosts.allow y /etc/hosts.deny porque dependen de que los demonios se > compilen con soporte para tcp wrappers, y te pueden dar falsa sensación de > seguridad (por ejemplo, si compilas sshd a mano por cualquier motivo y se > te olvida ponerle el flag de tcp wrappers). > > MIA++ > > > 2013/3/12 SinnerBOFH <sinnerbofh@xxxxxxxxx> > > Y con /etc/allow y /etc/deny ? > > Salut, > SinnerBOFH > > On Mar 12, 2013, at 3:42 AM, David López <meencantaesto@xxxxxxxxxxx> > wrote: > > A los buenos días bofhmanos. > > Tengo un servidor para el cual quier bloquear todo el tráfico saliente, > menos para una IP. He pensado en hacerlo con iptables, pero no estoy muy > puesto en el tema... Alguien me puede echar una manita y decirme o > aconsejarme qué reglas ponerle? > > Que $DEITY os lo pague con un buen kernel :P > > Un saludo !!! (y grasias de hantebraso) > > > >