BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

IPTABLES -> Permitir paquetes de una IP

1
caradriel

Quiero permtir a una determinada IP conexionesy he probado con las ociones -d 155.55.55.55 (por ejmplo) y no me va ¿alguien me puede decir como seria la regla completa?

iptables -A INPUT -i eth0 -p TCP -d 155.55.55.55 -j ACCEPT
(esto es lo que yo hago con alguna variante)

Es que lo extraño es que permito paquetes de todas las conexiones establecidas,pero el ftp no me funciona,es decir, me conecta si,pero cuando hago transferencias se quedan bloquedas,por eso quiero "abir" el camino a ciertas ip's ,se q es un pco cutre pero me llega

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Stendall1

En el caso de que el servidor lo arranques con inetd, ¿tienes abierto para todas las ips o las que te interesen el servicio de ftp en el /etc/hosts.allow?
Si no es asi no te funcionara el ftp aunque lo abras en el iptables.

🗨️ 4
caradriel

No tengo muy claro lo q me preguntas porque estoy pez en esto. Yo en
/etc/hosts.allow file.
/etc/hosts.deny file.
en ambos ficheros no tengo a nadie. Solo uso un pequeño script que saque de varios sitios pero que basicamente esta basado en uno deBULMA para filtrar las IP's que es el siguiente:

Activamos el forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Borramos las reglas anteriores
iptables -F
iptables -t nat -F

#Habilito el SNAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to xx.xx.xx.xx (mi IP)

# Dejo pasar los paquetes ICMP
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT

########################
# CONEXIONES ENTRANTES #
########################
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

# Rechazamos paquetes de conexiones nuevas
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

# EDONKEY
iptables -A INPUT -i eth0 -p TCP --dport 4661:4662 -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport 4665:4672 -j ACCEPT

# Rechazamos paquetes de forwarding de conexiones no establecidas
iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

......y ya esta

y si me conecto a servidores FTP pero no a todos, en este caso el que me interesa es no passivo y no se si sera eso. Alguien me dijo que pasivo significaba que se conecta a tu puerto 21 y yo a su puerto 21 tambien.......el caso es que yo me conecto al puerto 21 y el se intenta conectar a uno libre que encuentre por ahi...
Con el edonkey/emule no tengo problemas (aveces si)
¿que opinas?
Gracias

🗨️ 3
Stendall1

Si todavia estas un poco verde en el tema, te recomendaria usar un script para configurar el iptables, por que no sabiendo bien de el tema puedes estar poniendo un firewall que no sea muy seguro.
Yo para esto uso el Arno's iptables firewall script, lo puedes encontrar con ponerlo en el google, esta muy bien, es muy seguro, incluso bloquea scans de media conexion, scans Xmas, Null, etc y es muy sencillo de configurar, vale tanto para cable modem, como para adsl con o sin router. solo son basicamente 2 ficheros, 1 que va en /etc/con la configuracion(viene una ya hecha que puedes usar modificando las opciones, vamos, que no tienes que andar mirando ninguna ayuda para ver los parametros que soporta) y el script propiamente dicho.

Tiene un monton de facilidades, puedes decir que ips quieres abrir a que servicios, que puertos quieres bloquear a todo el mundo y un monton de cosas mas, tambien viene con NAT por si lo necesitas, y lo puedes tener funcionando en 5 minutos y estar bastante seguro.

🗨️ 2
caradriel

Gracias es un script cojonudo y funciona bien

🗨️ 1