El Tue, 17 Jun 2008 12:41:46 -0300 adriancito <[EMAIL PROTECTED]> escribió:
> Buenas Lista. > > Estoy leyendo sobre iptables y temas relacionados, y entre otras > cosas vi el hecho de aceptar cierto tráfico si su estado es > ESTABLISHED o RELATED, lo cual es muy interesante. > > La consulta es la siguiente: > > Es correcto tener para los dns: > > iptables -A INPUT -s $ANYRED -i $EXT_IF -p udp -m udp --sport 53 > --dport 1024:65535 -j ACCEPT > > o > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -s $ANYRED -i > $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT > > Muchas Gracias. > > Salu2. > > Creo que podrías ser incluso más restrictivo: iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \ $EXT_IF -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT e incluso más: iptables -A INPUT -m state --state ESTABLISHED -s $ANYRED -i \ $EXT_IF -p udp -m udp --sport 53 --dport 32768:65535 -j ACCEPT En mis curiosas incursiones con wireshark jamás he visto una aplicación no privilegiada intentar una conexión desde un puerto inferior al 32768 en linux. De todas formas comprueba que no te impide la resolución de nombres con herramientas como dig, host, nslookup o cualquier otra similar que pueda haber. Saludos y suerte -- Manolo Díaz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
