Miguel Da Silva - Centro de Matemática escribió:
Hacés forward de todos los puertos altos, no es muy aconsejable.
Si tenés esto en un gateway para un red Windows, "sos boleta". Es
justo lo que un "Trojan Horse" necesita. Además, fijate que dejás
entrar paquetes nuevos hacia tu red.
En casa tengo es casi lo mismo que vos, y siguen abajo lo que tengo (y
que funciona con derecho a portforwarding ;)):
# Forward.
echo "1" > /proc/sys/net/ipv4/ip_forward
# La regla abajo va para solucionar las cag*** que Microsoft suele hacer.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 5662 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5665 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.2 --dport 5672 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j
ACCEPT
# NAT para la PC Windows.
iptables -t nat -A POSTROUTING -s mariana01 -j MASQUERADE
# Emule para mariana01
iptables -A PREROUTING -t nat -p tcp --dport 5662 -i ppp0 -j DNAT --to
10.0.0.2:5662
iptables -A PREROUTING -t nat -p udp --dport 5665 -i ppp0 -j DNAT --to
10.0.0.2:5665
iptables -A PREROUTING -t nat -p udp --dport 5672 -i ppp0 -j DNAT --to
10.0.0.2:5672
En la eth1 va el Windows de casa y en la eth0 iria el modem ADSL.
Detalle para la regla que arregla la vieja mania de Microsoft de
querer re-inventar la rueda (y de hacerlo mal). Más detalles, los
puertos del p2p en la PC Windows son los que dicen en las reglas
arriba (bueno, no quiero ser molesto, pero estas reglas están en
página de emule).
Saludos.
Ok, miguel acabo de probrar de la siguiente manera:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--clamp-mss-to-pmtu
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.2 --dport 2000 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.2 --dport 2010 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 2000 -i ppp0 -j DNAT --to
192.168.0.2:2000
iptables -A PREROUTING -t nat -p udp --dport 2010 -i ppp0 -j DNAT --to
192.168.0.2:2010
ID ALTA! Pero "iptables -A FORWARD -i eth1 -j ACCEPT" esto no es lo
mismo que aceptar todo?
osea.. en las lineas de arriba yo lo hice bien a lo bruto, fue un
ejemplo y se que es una locura.. pero no ultimo que quiero hacer es
forwardear todo... como lo estoy haciendo con esta linea "iptables -A
FORWARD -i eth1 -j ACCEPT" de heco solo forwardeo los menores a 1024
...., de ahi para arriba cierro..., por eso el problema mio esta en como
hacer andar el emule sin forwadear todos los paquetes, ya sea de ppp0 o
eth1. si le saco la iface a esa linea es los mismo que nada.. es decir..
para que pongo la policy en drop si mas abajo abro un caño enorme.......
Muchas Gracias....
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
