Foros del Web » Administración de Sistemas » Unix / Linux »

Para los fieras de las iptables...

Estas en el tema de Para los fieras de las iptables... en el foro de Unix / Linux en Foros del Web. Tengo una duda que por mas que leo manuales (ya me los debo conocer todos) no me queda claro. Creo que la cadena FORWARD se ...
  #1 (permalink)  
Antiguo 28/08/2003, 10:01
 
Fecha de Ingreso: enero-2002
Mensajes: 417
Antigüedad: 22 años, 11 meses
Puntos: 0
Para los fieras de las iptables...

Tengo una duda que por mas que leo manuales (ya me los debo conocer todos) no me queda claro. Creo que la cadena FORWARD se usa para todo lo que pase a través del firewall, en mi caso para la red local a la que hago NAT. Ahora las dudas:

1)¿Si los paquetes no se dirigen al firewall sino al exterior, solo tengo en cuenta la cadena FORWARD? Y si van al firewall, ¿tengo en cuenta INPUT y OUTPUT? Con tener en cuenta me refiero a donde "pongo" las reglas.

2) ¿Es lo mismo poner esto:

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

¿que esto?

iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT

Si es así, ¿para que hacemos el seguimiento de la conexión? ¿cuando vale la pena hacerlo?

Ufff, muchas gracias a todos.

P.D: quisiera información sobre montar una empresa dedicada al software libre, en Málaga. Qué ofrecer, cómo, precios (si es posible...).
  #2 (permalink)  
Antiguo 28/08/2003, 16:05
Avatar de gomo  
Fecha de Ingreso: mayo-2002
Ubicación: [email protected]
Mensajes: 906
Antigüedad: 22 años, 7 meses
Puntos: 0
teoricamente la regla con RELATED,ESTABLISHED se pone primero que las otras, para que así si una conexion ya fue aceptada por otra regla simplemente pase por el firewall sin necesidad de rechequear todo.
Además ten en cuenta que estás poniendo --sport en la segunda regla (deberia ser --dport, generalmente).
Si usas dport en esa regla entonces si ambas son equivalentes. No se porque usas la tabla forward para esto, creo que deberias usar la tabla INPUT para el manejo de conexiones entrantes, aunque claro nada te impide usar forward.
Saludos ;)
__________________
  #3 (permalink)  
Antiguo 29/08/2003, 04:37
 
Fecha de Ingreso: enero-2002
Mensajes: 417
Antigüedad: 22 años, 11 meses
Puntos: 0
Si, es dport, es que la s y la d estan muy cerca en el teclado, pero queria poner eso . En cuando a lo de FORWARD, es para las conexiones que realicen desde la red local y no desde mi propio PC. ¿Debería ser asi? Y lo que no comprendo, si dices que son equivalentes ambas reglas, ¿cuando se usan las 2 cadenas mamotreticas? ¿Cuando es conveniente ver el estado de la conexión? ¿Se evita algún tipo de ataqque así? Muchas gracias.
  #4 (permalink)  
Antiguo 01/09/2003, 10:50
 
Fecha de Ingreso: enero-2002
Mensajes: 417
Antigüedad: 22 años, 11 meses
Puntos: 0
Porfaaaaa, solo me queda esta pregunta para aprobar el examen de acceso a la NASA...
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:42.