echo 1 > /proc/sys/net/ipv4/ip_forward

Imagen de BitFrost

Forums: 

Saludos compañeros, estoy con un problema y no se cual sea la solucion, he intentado de varias maneras configurando el iptables, he probado los COmos de Ecualug, pero tengo algo bien curioso, el solo simple hecho de poner

echo 1 > /proc/sys/net/ipv4/ip_forward

ya me comparte el internet, y no me filtra para nada el trafico, me parece algo muy raro, que solo con esa linea ya se empieze a compartir el internet y lo peor es que todo se brinca mi firewall talvez estoy con algun rootkit?

Un NAT

Imagen de pepo

Hola, eso no debería pasar ya que con eso solo habilitas la capacidad para reenvío (routing) revísate las reglas que tengas para NAT:

iptables -L -t nat

caso contrario manda un

iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -Z -t nat
iptables -X -t nat

y revisa que está pasando.

Si tienes un proxy como squid podrías por alli estar habilitando la salida.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

es normal

Imagen de acl

No es ningun rootkit. Un kernel de linux tipico tiene su netfilter puesto politicas de accept para todas las cadenas y todas las tablas estan vacias.

El truco esta en saber que es lo que hace ip_forward. Cuando el kernel recibe un paquete de red, primero compara la direccion de destino del paquete con sus propias direcciones ip. Cuando ip_forward esta apagado (o sea 0) y la direccion de destino del paquete es distinta a todas las direcciones locales, ese paquete se bota, se ignora y chau.

En cambio, cuando ip_forward esta encendido (o sea 1) y la direccion del paquete es distinta a la local, el kernel reenvia ese paquete utilizando su tabla de enrutamiento como guia para saber a donde debe enviarse y a que salto.

Por lo tanto, es logico que veas que se "comparte" tu conexion de internet, pero lo que sucede es que tu maquina esta enrutando (y sin modificar cabeceras), como un router comun y silvestre. Claro esta que si no tienes reglas de nat, las cabeceras de envio de paquetes de redes privadas van a seguir visibles incluso cuando hayan salido de tu red privada (lo cual podria explicar por que se salta tu firewall)

En resumen, es comportamiento normal, pero depende de tu caso si quieres hacer nat o simplemente enrutar y para eso esta tu criterio y los howtos.

No es normal

Imagen de pepo

Si solo se pone el ip_forward en 1, se esta habilitando la capacidad de re-envio (enrutamiento) pero las reglas que definamos seran las que hagan pasar un paquete desde una red a otra; peor aun, si la red interna es una privada entonces no podria haber trafico desde internet si no se hace NAT.

En otras palabras deben haber reglas por algun lado.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

enrutamiento con ip_forward = 1

Imagen de acl

[quote]pero las reglas que definamos seran las que hagan pasar un paquete desde una red a otra[/quote]
No, ip_forward y la tabla de enrutamiento son las que hacen pasar los paquetes de una red a otra. Las reglas de netfilter solo sirven como filtro y manipulacion de paquetes, y por default estan todas en ACCEPT. El paso de paquetes es comportamiento normal si las tablas y las reglas estan vacias y en ACCEPT.

[quote]peor aun, si la red interna es una privada entonces no podria haber trafico desde internet si no se hace NAT.[/quote]
Eso es correcto, si la red interna es privada y hay trafico, de ley tiene que haber otra maquina que este haciendo NAT en el camino (o como mencionas, algun otro metodo como squid o socks). Pero no es necesariamente la maquina con ip_forward... La pregunta original menciona un firewall, no se si sea otra maquina en la misma red

Varias opciones

Imagen de Monkito

Estoy de acuerdo, es normal que se comparta el internet con un con ip_forward = 1 y un service iptales stop, ya que no se sabe si la red interna está en el mismo rango de la wan, o en su defecto estar en diferente rango pero que el gw tenga un:


route add -net x.x.x.x/xx y.y.y.y

si no quieres que se comparta el internet simplemente pon:

iptables -t filter -X
iptables -t filter -F
iptables -t filter -Z
iptables -t nat -X
iptables -t nat -F
iptables -t nat -Z
iptables -t mangle -X
iptables -t mangle -F
iptables -t mangle -Z

iptables -p INPUT ACCEPT
iptables -p FORWARD DROP
iptables -p OUTPUT ACCEPT

Si necesitas ayuda configurando un firewall avisanos..

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

Disculpas

Imagen de BitFrost

Bueno todavia no logro descifrar por que algunas conecciones se saltan mi firewall, pero en eso estoy trabajando, talvez mas que seguro es la topologia de mi red algun cable por ahi esta haciendo puente, gracias por las respuestas.
Talvez hay alguna utilidad que pueda indicar las conecciones establecidas mediante NAT?

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]
[img]http://www.geocities.com/andres_genovez/mail.png[/img]

"Education is what remains after one has forgotten everything he learned in school." - Albert Einstein
[img]http://counter.li.org/cgi-bin/certificate.cgi/345468[/img]

Usa algun sniffer en tu red

Imagen de damage

Usa algun sniffer en tu red o un Software que te monitoree la red, investiga tu red con tcpdump, luego prueba wireShark (antes llamado ethereal), coloca NTOP, mira con jnnetop, etc, yo personalmente uso todos estoy y mas y asi siempre tengo control y conocimiento de lo que esta pasando en la red.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

Saludos

Saludos..

Tal vez tienes un servidor proxy y por ahi se esta filtrando la navegacion. Prueba activando iptables en ese proxy si es que es tu caso... Tendrias que verificar como estan tus conexiones..

:) Bye..