On 07/11/15 07:51, Hugo Florentino wrote:
Mis observaciones:
echo 1 > /proc/sys/net/ipv4/ip_forward
Personalmente prefiero activar el bit de forward via sysctl:
sysctl -w net.ipv4.ip_forward=1
De hecho, puedes editar el archivo /etc/sysctl.conf y poner alli ese
valor, asi no hay que declararlo en un script.
Sí, gracias, lo coloqué ahí para que todos lo tuvieras
iptables -A FORWARD -i lo -o -eth0 -j ACCEPT
Esta regla me parece innecesaria, la cadena FORWARD es para los paquetes
que pasan por el cortafuegos pero no que se originan en el o destinan a el.
Muchas gracias. Recibido
No veo declaraciones para la cadena OUTPUT salvo para conexiones
establecidas y relacionadas.
Es decir, tu cortafuegos en si no tendra acceso a ninguna parte, no se
si realmente es eso lo que deseas.
Sí, solo coloqué un OUTPUT para la salida del firewall por ssh hacia la
lan, fue básicamente un ejemplo para que se viera lo que se hace, por lo
que es cierto, en ese ejemplo, el cortafuego no sale a ninguna parte
iptables -A INPUT -s 192.168.56.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT
Yo adicionalmente limitaría el estado a las conexiones nuevas y si te
conectas siempre desde un mismo equipo anclaria la regla a su mac.
Me puede poner un ejemplo de esa regla que menciona???
Muchas gracias por la recomendación
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
No entiendo el propósito de habilitar este enmascaramiento si no vas a
acceder a tu WAN desde tu LAN.
Sí, en ese script hay un ejemplo, de como acceder por el puerto 80 desde
la wan hacia un servidor dentroo de la LAN
Yo agregaría algunas reglas de trazas, mediante los destinos ULOG o
NFLOG, depende del sistema.
Puede ser un poco más específico, lo que he visto de logs en iptables,
me loguea demasiadas cosas, puede indicarme sobre esto, que es lo más
correcto (Utilizo Ubuntu server 14.04)
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Noviembre 13-14: Final Caribeña 2015 del Concurso de Programación ACM-ICPC
https://icpc.baylor.edu/regionals/finder/cf-2015
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
