Forums:
Amigos necesito un empujon necesito cerrar todo el forward de todos los protocolos en toda la red y solo dejar navegar ciertos ip. esta es mi idea:
-A FORWARD -s 192.168.1.3 -j ACCEPT
-A FORWARD -s 192.168.1.4 -j ACCEPT
-A FORWARD -s 192.168.1.6 -j ACCEPT
-A FORWARD -s 192.168.1.11 -j ACCEPT
-A FORWARD -s 192.168.1.12 -j ACCEPT
-A FORWARD -s 192.168.1.12 -j ACCEPT
-A FORWARD -s 192.168.1.31 -j ACCEPT
-A FORWARD -s 192.168.1.32 -j ACCEPT
-A FORWARD -s 192.168.1.33 -j ACCEPT
-A FORWARD -s 192.168.1.34 -j ACCEPT
-A FORWARD -s 192.168.1.98 -j ACCEPT
-A FORWARD -s 192.168.1.10 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -j DROP
estoy con un linux centos haciendo nat y usando squid y dansguardian si alguien se cambia de ip dejan de navegar pero el skype se conecta y pueden dar ping a las paginas. ya tengo rato de buscar info y no encuentro nada me estoy leyendo el libro de iptables por cierto muy interesante en espanol.
aqui lo dejo para el que lo quiera.
http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html
pero no doy mas mi cabeza esta que explota jajaja. pero seguramente ustedes ya saben por donde anda el asunto se los agradeceria un apoyo en esta situacion que me tiene algo desconcertado. gracias. a si los ip que miran ahi estan con restriccion con cbq y dansguardian por esa razon no pueden cambiarse si ellos se cambian no navegan y ni msn se conecta pero el skype es increiblemente escurridiso reviso el iptraf y hay miles de paquetes udp por ser un p2p su diseno pero realmente quiero detenerlo. para asi completar mi mision :) gracias.
Seria bueno que especifiques
Seria bueno que especifiques un poco mas que quieres hacer, como por ejemplo, cerrar los puertos para solo un pc host, o quieres que las reglas actuen para una red local, etc. Pero como punto de partida puedes utilizar SHOREWALL, es un interfaz para manejar a iptables de forma mas sencilla, es bastante flexible y robusto, ademas de que tiene mucha documentacion en internet. Te permitira crear tus reglas de manera muy sencilla y comprensible, ojala te sirva, saludos.-
bloqueas asi
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A POSTROUTING -s 192.168.43.0/255.255.255.255 -j MASQUERADE
## Acceso al NAT solamente estos numeros IP
iptables -t nat -A POSTROUTING -s 192.168.43.02 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.20 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.33 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.39 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.42 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.45 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.58 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.62 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.64 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.80 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.84 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.130 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.135 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.140 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.240 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.43.241 -d 0/0 -j MASQUERADE
# Cerrando el NAT a la red local
iptables -t nat -A POSTROUTING -s 192.168.43.0/24 -d 0/0 -j DROP
en este ejemplo primero le digo que ip van ha tener derecho a salir , luego le cierro al resto de los ips y listo ya tienes restringida tu red.espero te sirva
Denis Guido
Denis Guido
Para evitar crear una liena
Para evitar crear una liena cada vez que quieras bloquear una IP mejor has un For NET do; (hoy estos generoso) ejemplo:
NETWORK1="10.10.10.2 10.10.10.3 10.10.10.25"
for NET in $NETWORK1; do
$IPTABLES -A FORWARD -s $NET -d 0/0 -j DROP
Lo puedes hacer por puertos de igual forma con for PORTS do; eso ya te queda para la imaginaciòn.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/
cuando veo esto me da buenos recuerdos
tan util estos consejos y para esa epoca no tenia ni idea de lo que podia hacer con linux, me da nostalgia ver estos post y no haberlos puesto en practica, bellos recuerdos ;)
la idea es esta
quiero que actue como un router nat el cual le indico que si tal ip no va a tener acceso a el lo especifico en el firewall y se le va a cancelar todo acceso a el, para citar un ejemplo un router linksys sencillo. entro a las reglas de firewall agrego una ip y le digo que la bloquee inmediatamente esa ip no tiene ningun acceso al internet queda completamente aislada del internetel skype muere.
en el caso del linux no he encontrado una solucion sencilla a eso, esta interesante lo de hacer nat para cada ip pero espero que haya otra solucion mas simple ya probe el comentario de DAMAGE pero al final la instruccion es igual a las que he puesto.
# -A FORWARD -s 192.168.1.3 -d 0/0 -j DROP
en el iptables se resume a.
-A FORWARD -s 192.168.1.3 -j DROP
bueno la escribi en la linea de comando y al entrar al archivo de iptables la linea era completamente igual a las que habia puesto anteriormente solo que con DROP y no bloqueo el pinche skype ni el ping la idea es que esa pc no tenga acceso al nat en pocas palabras no va a tener ningun servicio del internet no la quiero ver con ningun protocolo pasando el linux.
erntonces
la configuracion que te di funciona para lo que tu quieres lo unico que tienes que hacer cambiar los ips que aparecen ahi por los tuyos , ademas tienes que agregar al final del ejemplo anterior esto:
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras mquinas puedan salir a traves del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
con esto logras lo que tu quieres.
Denis Guido
Denis Guido
yo entiendo denisenrique pero
el tema mio era simplificar el problema, con el nat para cada cliente estoy haciendo mas grande mi firewall talvez sea cierto que con eso bloqueo firmemente la salida del nat, pero creo que estas reglas que puse son menos complejas que las que me distes. Este tema puede ser muy interesante porque cuando uno empieza un nat con linux quiere tener todas las funciones de sus router sencillos creo que estas reglas que encontre son menos complejas y si me estan dando resultado. el skype se conecta por el squid es bandido jajaj por eso no lo miraba en iptraf como puertos udp jajaj se iba por el squid pero dime que opinas de estas reglas.
-A FORWARD -s 192.168.1.32 -p udp -m udp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.32 -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.33 -p udp -m udp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.33 -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.34 -p udp -m udp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.34 -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 1:65535 -j DROP
-A FORWARD -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 1:65535 -j DROP
ahi les digo a esas pc que tienen todo abierto, si quiero restringir algo solo lo especifico antes para que la regla sea omitida o menos permisiva, pero si se pierde conexion con el skype con estas reglas. claro esta siempre que el squid no lo tenga permitido para mi ip ya que el encuentra el puerto abierto y se conecta. pero bien luego le digo que cierre todo el segmento y no deje ningun puerto abierto tanto en tcp como udp de esta forma cancelo cualquier cambio de ip, el por que de esta configuracion. Yo tengo un 768k de internet y tengo vecinos conectados por enlaces microndas y todos ellos salen con un determinado ancho de banda con el cbq por esa razon no queria que cambiaran de ip tambien tengo restriccion de mime con el squid+dansguardian para que no me topen el internet ya que si se ponen a ver videos online bueno 3 de ellos pueden saturar el ancho de banda al sumarse todos en cbq pero bien hay algunos clientes que no tienen tantos puertos abiertos de esa forma evito p2p y a funcionado al 100% esas configuraciones. practicamente lo que queria era un router sencillo y a la vez robusto como el que tengo con el linux seguire trabajando en nuevas reglas y vere que mas puedo hacer sus aportes y consejos son bien recibidos por su servidor. y si hay otras formas de crear mejores reglas que las que mostre se los agradeceria mucho las comentaran ;) feliz año 2007 a todos.
esta bien
si te fijas las reglas que tu haces por cada puerto pones el mismo ip varias veces , estas haciendo mas trabajo y tiendes a confundirte , pero bueno lo que puedes hacer seguir el consejo de damage hacer un for Ports.
la regla que te di esta sencilla
1-hace postrouting de la red
2-luego das acesso al nat de los ips autorizados
3-cierra el nat para el resto de la red
Denis Guido
Denis Guido
Que raro tu problema, pero
Que raro tu problema, pero si te complica tanto usa ip neigh y has una lista de todas las Ip y mac de cada tarjeta de red asi deniegas el acceso mejor dicho toda la conectividad de esa PC, busca en el foro con BUSCAR y encontraras el script de ip neigh, o mejor invertiga en google sobre ese comando.
Que hace este comando, relaciona una MAC address con una IP si la tarjeta de red a la que pertenece esa MAC no tiene la IP asignada simplemente el ip neigh le denega el acceso y listo que más.?
Saludos.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/