Re: Re: [Sop.Tec.LinuxPPP] Problemas con ipchains

To: "[ |-| [] /|/| ¡" <chomj en tutopia com>
Subject: Re: Re: [Sop.Tec.LinuxPPP] Problemas con ipchains
From: "LCC. Domingo Varela Yahuitl" <dvarela en athena sicomnet edu mx>
Date: Thu, 9 Aug 2001 12:03:24 -0500 (CDT)
Cc: <linux en linuxppp com>
In-reply-to: <C148E93C5DC85D1168850005B81E96A5@chomj.tutopia.com>
Reply-to: linux en linuxppp com
Sender: owner-linux en pepe net mx

Todo el chow anterior lo puedes hacer de esta manera

IPC=/sbin/ipchains
IF=eth0
INIF=eth1
IP=`/sbin/ifconfig $IF | grep inet | cut -d : -f 2 | cut -d \  -f 1`
MASK=`/sbin/ifconfig $IF | grep Mas | cut -d : -f 4`
NET=$IP/$MASK
INNET=a.b.c.0/24

#limpiamos todas las reglas .
$IPC -X
$IPC -F
$IPC -Z

#inicializamos el tiempo  de emascaramiento
$IPC -M -S 7200 10 60

#Aqui no  enmascaramos el trafico interno
$IPC -A forward -s $INNET -d $INNET -j ACCEPT

#Aqui no  enmascaramos el trafico de la interface externa
$IPC -A forward -p tcp -s $NET -d 0/0  -j ACCEPT


#Aqui enmascaramos todo el trafico de la red local para  afuera
$IPC -A forward -s $INNET -d 0/0 -j MASQ

#Aplicamos la politica de enmascaramiento en DENY
$IPC -P forward DENY


#PC de Alex ---pc de alex solo  va a entrar a la pagina de yahoo
$IPC -A input  -s ip.pc.alex -d www.yahoo.com   -j ACCEPT
$IPC -A output  -s ip.pc.ales -d www.yahoo.com  -j ACCEPT

$IPC -A input -p tcp -s ip.pc.otro -d www.interno.com -j ACCEPT
$IPC -A output -p tcp -s ip.pc.otro -d www.interno.com -j ACCEPT

#Aqui permitimos a toda la red interna salir al exterior si problemas
$IPC -A input  -s $INNET -d 0/0  -j ACCEPT
$IPC -A output -s $INNET -d 0/0  -j ACCEPT
$IPC -A output -p icmp -s $INNET -d 0/0 -j ACCEPT

#Open ports for established connections
$IPC -A input -p tcp -s 0/0 -d $NET 1023:65535 -j ACCEPT
$IPC -A input -p udp -s 0/0 -d $NET 1023:65535 -j ACCEPT

#Deny everything not let through earlier
$IPC -A output -j ACCEPT
$IPC -A input -j DENY -l


Suerte








On Thu, 9 Aug 2001, [  |-|  []  /|/|  ¡ wrote:

> Haber si me explico y te sirve
>
> supongo que tu maquina que funciona como
> firewall, tiene dos interfaces, supongamos que
> tenemos eth0 para salir a internet, y eth1 para
> la red local, ok teniendo esto vamos con las
> reglas
>
> #Elimina cualquier regla existente de las cadenas
> # ----------------------------------------------
> ipchains -F
>
> #Establece la directiva predeterminada a denegar
> # ----------------------------------------------
>
> ipchains -P input       DENY
> ipchains -P output      REJECT
> ipchains -P forward     REJECT
>
> # Todas las máquinas internas tienen acceso a la
> # máquina firewall
> # ----------------------------------------------
>
> ipchains -A output -i eth1 -p tcp \
> 	 -s www.sitio.bloqueado 80 \
> 	 -d ip.deseas.bloquear -j DENY
>
> ipchains -A input -i eth1 -p tcp \
> 	 -s ip.deseas.bloquear \
> 	 -d www.sitio.bloqueado 80 -j DENY
>
>
> ipchains -A input -i eth1 \
>          -s tu.lan -j ACCEPT
>
> ipchains -A output -i eth1 \
>          -d tu.lan -j ACCEPT
>
>
> # Para salir a internet
> # --------------------------------------------
>
> # --------------------------------------------
> # HTTP (80) - Accerder a sitios Webweb remotos
> # como cliente
> # ---------------------------------------------
>
> ipchains -A output -i eth0 -p tcp \
>          -s tu.lan 1024:65535 \
>          -d any/0 80 -j ACCEPT
>
> ipchains -A input -i eth0 -p tcp \
>          -s any/0 80 \
>          -d ip.externa.de.tu.isp -j ACCEPT
>
>
> y bueno te aconsejaria que checaras los comos o
> howto, de la red
>
>
> ---- Principio del mensaje original ----
> De:Sergio Aguirre <sergio en dscorp com mx>
> Enviado:Wed, 08 Aug 2001 18:05:23 -0500
> Para:linux en linuxppp com
> Asunto:Re: [Sop.Tec.LinuxPPP] Problemas con
> ipchains
>
> ya se lo que está pasando, pero no puedo
> corregirlo todavía, las reglas
> que me mandaste las funcionan perfectamente
> cuando la política de entrada
> está en ACCEPT, pero cuando está en DENY no
> funciona, ya puse las mismas
> reglas pero en vez de poner DENY pongo ACCEPT y
> no me deja salir, de
> hecho estuve haciendo pruebas con el orden de las
> políticas pero si la
> política de entrada está en DENY no me deja.
>
> Si alguien tiene una sugerencia, les agradeceré
> bastante.
>
> Saludos, Sergio Aguirre
>
> ayala ramirez wrote:
>
> > q tal sergio:
> >
> > mira encontre esta linea q tal vez te pueda
> servir
> >
> >  $ ipchains -A input -s pepe.mybuss.com.ar -d
> > www.gamesforyou.com -p www -j DENY
> >
> > con esto estamos indicando que el usuario pepe
> no
> > tenga acceso a la pagina gamesforyou y a todas
> las
> > demas, debemos recordar que en ipchains se
> utiliza un
> > simbolo para indicar lo contrario (negar) ! ,
> yo creo
> > q esto lo podrias aplicar en el ejemplo, no?
> >
> > mira yo lo haria de esta forma :
> >
> >    $ ipchains -A input -s !jefe.mybuss.com.ar
> -d
> > www.playboy.com -p www -j DENY
> >
> > con esto decimos que denegue todas las
> direcciones
> > excepto una(playboy), checas !
> >
> > suerte !
> >
> >  --- Sergio Aguirre <sergio en dscorp com mx>
> escribió: >
> > Que tal lista,
> > >
> > > tengo un problema con ipchains, quiero
> restringir un
> > > ip para que no tenga
> > > acceso a internet, sino sólo a la página de
> la
> > > empresa, le pongo la dirección
> > > de la máquina, lo reviso con ipchains -L, me
> lo
> > > muestra, pero no funciona.
> > >
> > > Si alguien puede echarme una mano, se lo
> agradesco,
> > > ya leí por todos lados y
> > > nomás no le doy, si tienen el comando exacto
> estaría
> > > excelente.
> > >
> > > Gracias de antemano y saludos,
> > >
> > > Sergio Aguirre
> > >
> > >
> >
> ---------------------------------------------------------------------
> > > Lista de soporte de LinuxPPP
> > >  Reglas de la lista en
> > http://linuxppp.com/reglas.html
> >
> > =====
> > JJJJJJJJ  JJ  JJ   JJ  JJ   JJ  JJ  JJ
> >    JJ     JJ  JJJJJJJ  JJJJJJJ  JJ  JJ
> >    JJ     JJ  JJ J JJ  JJ J JJ   JJJJJ
> > J  JJ     JJ  JJ   JJ  JJ   JJ      JJ
> >  JJJ      JJ  JJ   JJ  JJ   JJ  JJJJJ
> >
> >
> _________________________________________________________
> > Do You Yahoo!?
> > Obtenga su dirección de correo-e gratis
> @yahoo.com
> > en http://correo.espanol.yahoo.com
> >
> ---------------------------------------------------------------------
> > Lista de soporte de LinuxPPP
> >  Reglas de la lista en
> http://linuxppp.com/reglas.html
>
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en
> http://linuxppp.com/reglas.html
>
> ---- Fin del mensaje original ----
>
>
>
>      [  |-| [ ] /\/\ ¡
>
>           \\//
>           * *
>     __oOo__O__oOo___
>
>
>   "The most beautiful thing we
> can experience
>    is the mysterius"  -Albert
> Einstein
> ______________________________________________________________
> E-mail y acceso a la Internet en http://www.Tutopia.com
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en http://linuxppp.com/reglas.html
>

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

Referencias:
- Re: Re: [Sop.Tec.LinuxPPP] Problemas con ipchains
  - De: [ |-| [] /|/| ¡

Previo por Fecha: [Sop.Tec.LinuxPPP] ¿Cuál era la lista que propuso Miguel?
Siguiente por Fecha: [Sop.Tec.LinuxPPP] shaper y snmp
Previo por Hilo: Re: Re: [Sop.Tec.LinuxPPP] Problemas con ipchains
Siguiente por Hilo: [Sop.Tec.LinuxPPP] ¿Cuál era la lista que propuso Miguel?

[Hilos de Discusión] [Fecha] [Tema] [Autor]