[bofhers] Re: Ayudita con iptables

From: Feina Centdos <feina102@xxxxxxxxx>
To: bofhers@xxxxxxxxxxxxx
Date: Tue, 12 Mar 2013 11:01:54 +0100

Una cosilla que quizás te vuelva un poco loco (hacer que la regla sea
statefull para no tener que comprobar el tráfico de respuesta)

## Aceptar todo el tráfico de conexiones establecidas
 -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

## Permitir establecer conexiones hacia la ip en cuestión.
 -A OUTPUT -d XXX.XXX.XXX.XXX -m state --state NEW -j ACCEPT


Saludos!
El 12 de marzo de 2013 09:15, David López <meencantaesto@xxxxxxxxxxx>escribió:

> No me fije xDDD
>
> Muchas gracias !!! En un rato lo pruebo ;)
>
> Enviado desde mi iPhone
>
> El 12/03/2013, a las 09:11, "Juan Luis Aranda" <dasmandr@xxxxxxxxx>
> escribió:
>
> > El día 12 de marzo de 2013 08:59, David López
> > <meencantaesto@xxxxxxxxxxx> escribió:
> >> Muchas gracias !!! Más o menos es lo que tenía, pero no estba seguro. Si
> >> añado la  1º línea en negrita, teóricamente admito el tráfico de entrada
> >> desde mi IP, correcto?
> >
> > Correcto. Aunque en el correo de antes te he engañado malamente. Al
> > ser OUTPUT la regla tienes que poner el destino (-d). Más abajo te
> > pongo el script corregido.
> >
> >> E imagino que si quisiera permitir conexiones al puerto 80, con las 2
> >> últimas líneas lo permitiría, no?
> >
> > Casi. Tendrías que poner el accept antes del INPUT/DROP. Si no nunca
> > llegaría hasta ahí.
> >
> >> # Táfico interno es bueno =)
> >> -A INPUT -i lo -j ACCEPT
> >> # Esta es la regla importante
> >> -A OUTPUT -s XXX.XXX.XXX.XXX -j ACCEPT
> >> -A INPUT -s XXX.XXX.XXX.XXX -j ACCEPT
> >>
> >> # Salida denegada por defecto
> >> -A OUTPUT -j DROP
> >> # Entrada denegada por defecto
> >> -A INPUT -j DROP
> >> # No hay enrutado
> >> -A FORWARD -j DROP
> >>
> >> --Permite conexiones www
> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> >>
> >> Gracias miles !!!!
> >
> > Otra forma más elegante para el script
> > *filter
> > # Ponemos las políticas por defecto
> > :INPUT DROP
> > :OUTPUT DROP
> > :FORWARD DROP
> > # Vamos añadiendo las reglas que nos interese
> > -A OUTPUT -d XXX.XXX.XXX.XXX -j ACCEPT # ¡OJO, CORREGIDO!
> > -A INPUT -s XXX.XXX.XXX.XXX -j ACCEPT
> > -A INPUT -p tcp --dport 80 -j ACCEPT
> >
> >
> > --
> > - Because it breaks the natural flow of conversation.
> > - Why is top-posting such a bad thing?
> >
>

References:
- [bofhers] Ayudita con iptables
  - From: David López
- [bofhers] Re: Ayudita con iptables
  - From: Juan Luis Aranda
- [bofhers] Re: Ayudita con iptables
  - From: David López
- [bofhers] Re: Ayudita con iptables
  - From: Juan Luis Aranda
- [bofhers] Re: Ayudita con iptables
  - From: David López

[bofhers] Re: Ayudita con iptables

Other related posts: