Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
1.061 lecturas y 5 respuestas
  • Cerrado

    IPTABLES -> Permitir paquetes de una IP

    Quiero permtir a una determinada IP conexionesy he probado con las ociones -d 155.55.55.55 (por ejmplo) y no me va ¿alguien me puede decir como seria la regla completa?

    iptables -A INPUT -i eth0 -p TCP -d 155.55.55.55 -j ACCEPT
    (esto es lo que yo hago con alguna variante)

    Es que lo extraño es que permito paquetes de todas las conexiones establecidas,pero el ftp no me funciona,es decir, me conecta si,pero cuando hago transferencias se quedan bloquedas,por eso quiero "abir" el camino a ciertas ip's ,se q es un pco cutre pero me llega

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      En el caso de que el servidor lo arranques con inetd, ¿tienes…

      En el caso de que el servidor lo arranques con inetd, ¿tienes abierto para todas las ips o las que te interesen el servicio de ftp en el /etc/hosts.allow?
      Si no es asi no te funcionara el ftp aunque lo abras en el iptables.

      • Cerrado

        No tengo muy claro lo q me preguntas porque estoy pez en…

        No tengo muy claro lo q me preguntas porque estoy pez en esto. Yo en
        /etc/hosts.allow file.
        /etc/hosts.deny file.
        en ambos ficheros no tengo a nadie. Solo uso un pequeño script que saque de varios sitios pero que basicamente esta basado en uno deBULMA para filtrar las IP's que es el siguiente:

        Activamos el forwarding
        echo 1 > /proc/sys/net/ipv4/ip_forward

        #Borramos las reglas anteriores
        iptables -F
        iptables -t nat -F

        #Habilito el SNAT
        iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to xx.xx.xx.xx (mi IP)

        # Dejo pasar los paquetes ICMP
        iptables -A INPUT -i eth0 -p ICMP -j ACCEPT

        ########################
        # CONEXIONES ENTRANTES #
        ########################
        # Acepto paquetes de conexiones ya establecidas
        iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

        # Rechazamos paquetes de conexiones nuevas
        iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

        # EDONKEY
        iptables -A INPUT -i eth0 -p TCP --dport 4661:4662 -j ACCEPT
        iptables -A INPUT -i eth0 -p UDP --dport 4665:4672 -j ACCEPT

        # Rechazamos paquetes de forwarding de conexiones no establecidas
        iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

        ......y ya esta

        y si me conecto a servidores FTP pero no a todos, en este caso el que me interesa es no passivo y no se si sera eso. Alguien me dijo que pasivo significaba que se conecta a tu puerto 21 y yo a su puerto 21 tambien.......el caso es que yo me conecto al puerto 21 y el se intenta conectar a uno libre que encuentre por ahi...
        Con el edonkey/emule no tengo problemas (aveces si)
        ¿que opinas?
        Gracias

        • Cerrado

          [Editado]

          Si todavia estas un poco verde en el tema, te recomendaria…

          Si todavia estas un poco verde en el tema, te recomendaria usar un script para configurar el iptables, por que no sabiendo bien de el tema puedes estar poniendo un firewall que no sea muy seguro.
          Yo para esto uso el Arno's iptables firewall script, lo puedes encontrar con ponerlo en el google, esta muy bien, es muy seguro, incluso bloquea scans de media conexion, scans Xmas, Null, etc y es muy sencillo de configurar, vale tanto para cable modem, como para adsl con o sin router. solo son basicamente 2 ficheros, 1 que va en /etc/con la configuracion(viene una ya hecha que puedes usar modificando las opciones, vamos, que no tienes que andar mirando ninguna ayuda para ver los parametros que soporta) y el script propiamente dicho.

          Tiene un monton de facilidades, puedes decir que ips quieres abrir a que servicios, que puertos quieres bloquear a todo el mundo y un monton de cosas mas, tambien viene con NAT por si lo necesitas, y lo puedes tener funcionando en 5 minutos y estar bastante seguro.