Escrito originalmente por quelcom
Esto de aceptar conexiones que vienen de dentro no lo acabo de entender. En teoria -i indica la interface y el '!' indica diferente, por lo que todo lo que no me venga de ppp lo acepto.
Segun esto solo con estar en una LAN este script no me serviria no?
O despues con el iptables -A block -j DROP todos los paquetes de la chain block que no cumplan condiciones anteriores se dropean como politica por defecto?
Bufff tengo un empache, haber si alguien me aclara las dos linias.
# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# iptables -A block -j DROP
Nus vemos!
A la cadena block llegan los paquetes que vienen de fuera a tu maquina (INPUT->BLOQ) y los que se han de reenviar (FORWARD->BLOQ). Los paquetes que se generen en tu ordenador no pasaran por la cadena, solo pasaran por la cadena OUTPUT.
Si tu ordenador comparte la conexión que tienes en ppp0 con otros ordenadores que tengas en una LAN (pe en eth0) la linea les permite establecer conexiones nuevas hacia el exterior, pero no permite abir conexiones nuevas a tu ordenador desde ppp0.
Esta linea no tiene mucho sentido si lo que quieres es solo un firewall, y si quieres hacer de router te faltaria activar el masquerading y el forwarding si no estan ya activados en el nucleo.
La última linea como bien has dicho equivale a poner la política en drop por defecto.
PD: Yo de ti buscaria un script mejor. Si usas la busqueda del foro seguro que encuentras alguno.
Escrito originalmente por jordigm
Como tendria que ser la regla si tenemos en cuenta que la IP interna de la LAN es 192.168.4.0/24
Posiblemente añadiendo estas lineas funcionaría, pero no se puede asegurar sin ver el resto del script, ya que depende de como este montado. Suponiendo que la targeta de la red 192.168.4.0 es la eth0:
iptables -A FORWARD -i eth0 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 --dport 444 -j ACCEPT
taluek
![[oki]](/images/smilies/net_thumbsup.gif "Ok!")
