[gugs] Aprovechando que estamos mareando el fw de SD...

[Esteve Fernàndez]

Hola. Como dice el subject, estamos toqueteando cosas del fw en
fanelli (se está discutiendo si lo dejamos permanente y actualizamos
al kernel 2.4). Pues bien, yo tengo una minired en casa (básicamente
da acceso a internet a mi madre y tb le permite usar la impresora) y
tengo puestas unas reglas con iptables, os las paso por si alguien sabe
cómo mejorarlas (o si alguien quiere empezar en esto del fw), las he
comentado explicando el caso concreto:

# Hace un proxy transparente (si mi madre cambia de navegador, no
# tendrá que cambiar nada en la configuración)
iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
# Hace el masquerade para poderse conectar a internet
iptables -A POSTROUTING -o ppp0 -j MASQUERADE 
# Crea una cadena personalizada
iptables -N block
# Permite el tráfico desde eth0 (tarjeta ethernet) y el de loopback (local)
iptables -A block -i eth0 -j ACCEPT
iptables -A block -i lo -j ACCEPT 
# Las siguientes reglas bloquean cualquier intento de conexión y cualquier escaneo
# de puertos desde internet a los puertos 25 (smtp-exim), 139 (netbios-samba),
# 515 (lp compatibilidad con lpr), 631 (cups, el servicio de impresión que tengo ahora),
# 901 (swat, para configurar samba) y los del proxy (8080 y 8081)
iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL SYN -j REJECT --reject-with tcp-reset
iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN -j REJECT --reject-with tcp-reset
iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL NONE -j REJECT --reject-with tcp-reset
iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN,URG,PSH  -j REJECT --reject-with tcp-reset 
iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL ALL -j REJECT --reject-with tcp-reset 
# Hace que FORWARD e INPUT usen la cadena block
iptables -A INPUT -j block
iptables -A FORWARD -j block

No estoy seguro de cómo optimizar las reglas que tengo puestas, por eso espero
que alguien me diga algo. Seguro que me he pasado con tantas reglas, pero
me sirvió mucho para aprender a usar iptables (ya aprendí ipchains, pero como en esto
hay que renovarse o morir... ;-)) Adéu.
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 232 bytes
Descripción: no disponible
Url        : /pipermail/gugs/attachments/20010819/c9774c3b/attachment.pgp