IPtables e IPchains
(34991 lectures)
Por Ricardo Galli Granada
gallir
(http://mnm.uib.es/gallir/)
Creado el 06/01/2001 00:00 modificado el 06/01/2001 00:00
|
Las iptables reemplazan al ipchains en el Linux 2.4 por cambios internos en los módulos del kernel (netfilter).
Actualización: Enlaces al sitio nuevo del Netfilter y notas para Debian. |
Pagina1/1 |
Como parece haber bastante interés en el nuevo iptables que reemplaza
al ipchains en el Linux 2.4, os paso los siguientes enlaces:
Página principal del
proyecto Netfilter
FAQ
Packet
Filtering HOWTO
Linux 2.4 NAT HOWTO
Para usar las iptables con packet filtering y/o NAT hay que
compilar el kernel con la opción CONFIG_NETFILTER habilitada.
Ejemplo de NAT con packet filtering (sale aquí):
# Masquerade out ppp0
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Disallow NEW and INVALID incoming or forwarded packets from ppp0.
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP
# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
IMPORTANTE: Las iptables son incompatibles con las ipchains.
Si queréis seguir usando ipchains o ipfwadm en el Linux 2.4,
tenéis que compilarlo incluyendo los módulos ipchains.o y ipfwadm.o. En este
caso no podéis usar ip_tables, no funcionará.
Notas para Debian:
- En Debian todavía no hay un script similar a /etc/init.d/ipchains, por lo que hay se debe/puede poner el script en /etc/rc.boot.
- Hay unos paquetes que permiten la configuración de forma interactiva: ipmenu, agt, ferm y knetfilter.
--ricardo |
|
|
|
|
|
|---|
| Comentarios |
1. Re: IPtables e IPchains (11/08/2001 23:42, #2397)
Por: Daneel (http://aleph.imagoediciones.com) |
Mira, hoy mismo me he puesto las iptables y me he dado cuenta de la falta del equivalente al /etc/init.d/ipchains, pero realizar la adaptación es muy sencillo: basta con copiar el fichero ipchains a uno que llamaremos iptables y con nuestro editor de textos favorito substituimos las ocurrencias del string 'chains' por 'tables'.
Aún lo estoy provando, pero por el momento parece que funciona. |
No es pot respondre
|
2. Re: Re: IPtables e IPchains (11/08/2001 23:52, #2398)
Por: gallir (http://m3d.uib.es/~gallir/) |
| Confirma si te va bien... | No es pot respondre
|
3. Re: Re: Re: IPtables e IPchains (12/08/2001 12:23, #2409)
Por: Daneel (http://aleph.imagoediciones.com) |
Si, de momento no he tenido ningún problema.
Se me olvidó deir que tambien se tiene que copiar el /etc/default/ipchains a /etc/default/iptables.
| No es pot respondre
|
|
|
4. Re: IPtables e IPchains (11/08/2001 23:56, #2399)
Por: Celso |
Las reglas que has puesto para eliminar paquetes basadas en el estado tienen el problema que no te permiten acceso a programas de mensajería instantánea (ICQ, Messenger)
# Disallow NEW and INVALID incoming or forwarded packets from ppp0.
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP
Quiza una opción mejor sea limitar el acceso a determinados puertos "clásicos" (ej 0-1023,3128,6000), etc...
De todas formas estoy escribiendo un mega artículo sobre iptables que publicaré muy pronto ;-) |
No es pot respondre
|
5. Re: Re: IPtables e IPchains (12/08/2001 00:17, #2401)
Por: gallir (http://m3d.uib.es/~gallir/) |
| Esas reglas son las que aparecen en el HOWTO y sólo muestran de forma muy simple como hacer NAT y además filtrar paquetes usando la característica "stateful". Nada mas.
Todos los programas que reciban conexiones iniciadas desde afuera no funcionarán con esas reglas. | No es pot respondre
|
6. Re: IPtables e IPchains (23/09/2001 21:27, #2754)
Por: El cobarde anónimo |
| porque mejor no creas una regla con iptables, para permitir el acceso a los puertos de icq y messages.
Acuerdate de ponerla antes que esas en tus scripts | No es pot respondre
|
7. Re: IPtables e IPchains (29/11/2001 15:06, #3618)
Por: ihuro |
cual seria la regla de iptable para admitir el ICQ??
Gracias
Cesar Roldan | No es pot respondre
|
|
8. Re: IPtables e IPchains (04/02/2002 21:10, #4692)
Por: El cobarde anónimo |
| por favor hadlo pronto el mega articulo,por que me estoy volviendo loco con las iptables.¿que es devchain y rulchain ? gracias | No es pot respondre
|
|
9. ipcahins+ICQphone (05/12/2001 17:43, #3711)
Por: ALAC |
| Tengo una Red LAN, con un LINUX, MANDRAQUE y tengo configurado ipchains para que los usuario navegen atravez de la red, tengo instalado ICQ200b en los PC con winXX, el ICQ funciona bien PERO NO LOGRO HACER QUE FUNCIONE ICQphone.
He buscado documentacion en INTERNET y no encuentro nada que me digo sobre el caso, SI ALGUIEN ME PUEDE AYUDAR MI # DE ICQ ES 16347757 |
No es pot respondre
|
10. Re: ipcahins+ICQphone (12/12/2002 12:10, #10634)
Por: Aldo Vieira |
| Também tengo neste problema! Si encuentrar me ayude também!
Gracias , | No es pot respondre
|
|
11. Re: IPtables e IPchains (03/01/2002 05:35, #4090)
Por: Patolin |
| Yo tengo una Lan con un server con MANDRAKE 8.0, uso iptables, pero no he
podido
entregar las opciones para habilitar MSN para mandar archivos o hablar, igual
cado en el ICQ, si alguien puede ayudarme se los agradeceseria mucho, estamuy
buena esta pagina, ojala que muchos mas la conoscan |
No es pot respondre
|
12. Re: IPtables e IPchains (10/07/2002 15:15, #7216)
Por: El cobarde anónimo |
| hola. tengo el mismo problema tuyo, y requiero ayuda urgente. Me interesa que si algo saben de respuesta a esto me informe pronto. gracias. mi e-mail es:
paguirre@netexplora.com. Ahh... Alguien sabe hacer forwading... osea que en la red nat local tengas un pc con un puerto ejmplo 1037 de ftp y que en el servidor principal al solicitar el puerto 21 lo destine a esa máquina local y lo tire al puerto 1037? | No es pot respondre
|
|
13. Re: IPtables e IPchains (08/04/2002 13:52, #5589)
Por: frasca |
| TENGO PROBLEMAS CON EL MSN NO PUEDO NI HABLAR NI MANDAR ARCHIVOS POR FAVOR MANDENME LA RESPUESTA A msfrasca@hotmail.com GRACIAS |
No es pot respondre
|
14. Re: IPtables e IPchains (31/07/2002 07:58, #7491)
Por: Daniel |
| Tengo el mismo problema con el messenger no puedo mandar nada solo puedo recibir por favor si alguien pudiera ayudarnos a todos los que tenemos este problema ojala les mueba el corazón, afloren sus más nobles sentimientos y nos brinden su ayuda Gracias. | No es pot respondre
|
15. Re: IPtables e IPchains (04/08/2002 01:28, #7543)
Por: El cobarde anónimo |
| tengo el mismo problem no puedo usar vos ni enviar archivos en mi red internna | No es pot respondre
|
|
|
|
|
17. Re: IPtables e IPchains (01/09/2002 02:31, #8065)
Por: Ulises |
Yo tengo ese mismo problema con el msn que no se pueden mandar archivos no mas recivir, y pues haber si alguien me escribe a mi mail es...
h3rm020@hotmail.com
y ojala y me digan que hacer!!
(me dijeron que es porque tiene virus y por eso no se puede:S) |
No es pot respondre
|
18. Re: IPtables e IPchains (08/01/2003 12:06, #11246)
Por: El cobarde anónimo |
| Como ? no mas puedes recibir? A mi tb me pasa | No es pot respondre
|
19. Re: IPtables e IPchains (17/01/2003 05:08, #11491)
Por: Patolin |
| Yo estado estudiando el tema y la solucion pasa por instalar unos archivos que habiliten las opciones para hablar y enviar archivos a Traves de MSN hotmail, en su momento tuve unos archivos pero por mala suerte se hecho a perder mi servidor y perdi toda la informacion, la cual estaba en ingles, asi que tuve que entrar en la penosa tarea de buscar nuevamente en Internet.
Ojala que esto les de alguna esperanza, y de plano hay que buscar en paginas en Ingles.
Saludos | No es pot respondre
|
20. Re: IPtables e IPchains (17/01/2003 05:14, #11492)
Por: Patolin |
| Encontre algo, Busque en internet informacion sobre el siguente modulo:
ip_masq_msn , salu2s nuevamente y si alguien sabe algo mas o resuelve antes el problema ojala lo publique | No es pot respondre
|
|
|
|
21. IPtables (22/06/2003 18:13, #15397)
Por: Goody |
Hola, tengo una preguntita:
he ingresado la siguiente regla nat dentro de un script en mi host bastion:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.5:80
y me gustaria saber cual seria la regla nat para que mi red interna tenga acceso al puerto 80 del servidor web
Ampliacion:
host bastion ------>(eth0:IPFIJA, eth1:192.168.0.1)
Servidor Web ------>(eth0:192.168.0.5)
La regla mencionada arriba como veras redirecciona al servidor web y permite el acceso desde el exterior al puerto 80, pero me gustaria tambien tener acceso desde mi red interna. |
No es pot respondre
|
22. Re: IPtables (22/06/2003 18:43, #15398)
Por: gallir (http://mnm.uib.es/~gallir/) |
| Si estás haciendo nat de todas las conexiones internas, pues todas tendrás acceso al servidor web.
Mírate también este artículo | No es pot respondre
|
23. Re: IPtables (22/06/2003 19:18, #15399)
Por: Goody |
Extracto
#!/bin/bash
iptables -F
iptables -t nat -F
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to IPFIJA
#Permitimos la comunicacion a nuestro servidor dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#Permitimos la comunicacion a nuestro servidor dns
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#Permitimos que se conecten a nuestro servidor web(80)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Permitimos que se conecten a nuestro servidor ftp(21)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#Permitimos que se conecten a nuestro ssh(22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Denegamos todas las entradas
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to 192.168.0.5:53
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to 192.168.0.5:53
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.5:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.5:21
Ampliación:
Desde cualquier maquina de mi red interna, habro cualquier explorador, y digito la IPFIJA con esto visualizaria el contenido del servidor web, pero no logro eso estoy seguro que me falta ingresar alguna regla en el Bastion para permitir eso.
En cuanto al exterior es logico que al realizar lo explicado ellos si pueden ver el contenido.
Al ingresar desde mi red interna la ip privada del servidor web(192.168.0.5) si se puede ingresar al contenido, pero mi intension es simular como si estubiera ingresando desde el exterior. | No es pot respondre
|
24. Charla con Gallir (23/06/2003 11:56, #15423)
Por: Goody |
*gallir miembro de BULMA:-->¿te refieres a eso con "simular accesos desde el exterior?
-Goody:--> si, eso mismo.
*gallir miembro de BULMA:-->lo tendrás que solucionar con DNS con vistas http://bulma.net/body.phtml?nIdNoticia=1320
-Goody:--> ha que bien, gracias.
| No es pot respondre
|
25. Dudas sobre bind8 y bind9 (23/06/2003 12:47, #15424)
Por: Goody |
Sacame de una duda sobre bind8 y bind9 ya que me instaron a utilizar siempre el bind8, por ser mas confiable. que opinas tu.
Ya que me anime a usar bind9 cual de estas versiones me recomiendas:
bind9 --------> version 9.2.2-7 [5.4MB]
bind9-devel --> version 9.2.2-7 [8.1MB]
estoy usando suse 8.2 profesional
y si esas versiones no te convecen que version debo usar y donde lo consigo. | No es pot respondre
|
|
|
|
26. Re: IPtables e IPchains (06/06/2007 19:48, #42659)
Por: Anónimo |
| quiero saber como denegar que un rango de ip (192.168.1.30 al 192.168.1.60) acceda al puerto 553....con iptables
gracias |
No es pot respondre
|
