[OT] eliminar regla DROP en iptables
jmramirez
Hash: SHA1
Buenos días a todos
Lo primero perdón por el OT, he estado mirando por internet y en
diferentes manuales ( soy un neófito con iptables) pero no doy con ello.
Quiero eliminar una regla (DROP) pero no doy con la linea correcta.
Esta regla se creo a través de "Frontend" en el cual no encuentro esa
regla ( juraría que no esta).
Esta es la regla:
root@proxycorreo:~# iptables -L -n | grep 3128
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:3128
root@proxycorreo:~# iptables --list | grep 3128
DROP tcp -- anywhere anywhere state NEW
tcp dpt:3128
Y asi es como intento eliminarla:
root@proxycorreo:~# iptables -D INPUT -s 0.0.0.0 -p tcp --dport 3128 -j DROP
iptables: Bad rule (does a matching rule exist in that chain?)
root@proxycorreo:~# iptables -D INPUT -s 0.0.0.0/0 -p tcp --dport 3128
- -j DROP
Me cree una regla la cual borro correctamente, pero se que estoy
metiendo la pata en la que quiero eliminar y no doy con ello.
# La creo
root@proxycorreo:~# iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# Compruebo como esta
root@proxycorreo:~# iptables -L -n | grep 3128
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:3128
root@proxycorreo:~# iptables --list | grep 3128
ACCEPT tcp -- anywhere anywhere tcp dpt:3128
DROP tcp -- anywhere anywhere state NEW
tcp dpt:3128
# La elimino con la misma orden que la cree cambiando el "-A" por "-D"
root@proxycorreo:~# iptables -D INPUT -p tcp --dport 3128 -j ACCEPT
# Compruebo como esta
root@proxycorreo:~# iptables --list | grep 3128
DROP tcp -- anywhere anywhere state NEW
tcp dpt:3128
root@proxycorreo:~# iptables -L -n | grep 3128
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:3128
Bueno, muchas gracias por adelantado, aunque solo sea por leerme XD
Saludetes
- --
"Si los tontos volaran, el cielo se oscurecería"
No me envié correos en formatos propietarios
http://www.gnu.org/philosophy/no-word-attachments.es.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJM0qPEAAoJEOWNzQnqy+fzdgQH/AiFKwylwkBWZoqS1B+A6iMO
F9bSdWdi/RolFIWIDIf9AGiWahEzFp31XBiYlOdfq6grli/FBUsmOwSGbuUI11TR
onIj9n4DfJGVDyLry95fghBr5OH8kQxArnQu+Vf1PEzxcutGJOwcBoH+PKNYKXam
X66o63Jt+ewIvmyJ4f2K4ENZwx4xDAnJLjUxWM/bxdphoCTI0ySyXtpeQsowXX+s
qN8GlCj19VD3HVxNPX3W+OSBfMxnJe3cOK5oHU+Y1ipe65MSY2ZyqyIdeg36n5my
ud6ic9Sq8LjVbvya8s0NrO9fzsazOph19m4XouPDmcipYQRTZezggLAM65CEX8c=
=/xsD
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP2114C8D22...@phx.gbl
Jorge R.
Camaleón
> Lo primero perdón por el OT, he estado mirando por internet y en
> diferentes manuales ( soy un neófito con iptables) pero no doy con ello.
Esto no es OT... se ve que estamos un poco susceptibles :-)
> Quiero eliminar una regla (DROP) pero no doy con la linea
correcta.
> Esta regla se creo a través de "Frontend" en el cual no encuentro esa
> regla ( juraría que no esta).
>
> Esta es la regla:
>
> root@proxycorreo:~# iptables -L -n | grep 3128 DROP tcp --
> 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3128
>
> root@proxycorreo:~# iptables --list | grep 3128 DROP tcp --
> anywhere anywhere state NEW tcp dpt:3128
(...)
Yo tampoco estoy muy ducha en iptables, pero probaría la forma más
sencilla de eliminar una regla que es por su número (p. ej., "iptables -D
INPUT 5" si la regla aparece en el 5º lugar de la cadena "input").
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Jorge A. Secreto
Hola
Sin ser yo tampoco un experto en iptables, ni mucho menos, me parece
que acá te diste la respuesta tu mismo.
La orden *tiene* que ser la misma.
No estás teniendo en cuenta el *state NEW*
Probá de agregarle un --state new a la linea de borrado. O algo asi
Suerte
--
Jorge A Secreto
Analista de Sistemas
MP 361
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/AANLkTiÅzDohRJfhGpu85DoyZ...@mail.gmail.com
Carlos Valderrama
Primero tienes que conocer en qué línea esta
iptables -nL INPUT --line-number
de acuerdo a eso ya puedes eliminarlo
iptables -D INPUT 4
Saludos
Darkmull
-----Mensaje original-----
De: jmramirez [mailto:mas_...@hotmail.com]
Enviado el: jueves, 04 de noviembre de 2010 07:15 a.m.
Para: debian-us...@lists.debian.org
CC: Lista Debian
Asunto: [OT] eliminar regla DROP en iptables
Buenos días a todos
Esta es la regla:
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 5590 (20101104) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/001201cb7c23$339b81c0$9ad28540$@perucam.com
jmramirez
Hash: SHA1
> Podrías pegar el fichero que te genera ese "frontend" en algún sitio tipo
> pastebin.com ?
Buenas...
Lo he buscado por todos los lados, pero no doy con el. Es algo raro (El
frontend) porque es el ebox , ahora llamado zentyal [1]
> > Lo primero perdón por el OT, he estado mirando por internet y en
> > diferentes manuales ( soy un neófito con iptables) pero no doy con ello.
Esto no es OT... se ve que estamos un poco susceptibles :-)
Si es algo, OT. Lo que pasa es que no dije nada.... por evitar levantar
susceptibilidades. XD
El sistema es la hermana de debian, ubuntu ( hardy). Ademas que es una
herramienta ( muy interesante por cierto) llamada ebox ( ahora zentyal)
la cual maneja todas estas cosas "engorrosas" por ti.
Lo cual veo muy bien, porque así puedo ir aprendiendo.. pero es otro tema.
> > Quiero eliminar una regla (DROP) pero no doy con la linea
correcta.
> > Esta regla se creo a través de "Frontend" en el cual no encuentro esa
> > regla ( juraría que no esta).
> >
> > Esta es la regla:
> >
> > root@proxycorreo:~# iptables -L -n | grep 3128 DROP tcp --
> > 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3128
> >
> > root@proxycorreo:~# iptables --list | grep 3128 DROP tcp --
> > anywhere anywhere state NEW tcp dpt:3128
(...)
> Yo tampoco estoy muy ducha en iptables, pero probaría la forma más
> sencilla de eliminar una regla que es por su número (p. ej., "iptables -D
> INPUT 5" si la regla aparece en el 5º lugar de la cadena "input").
Es con lo que estoy probando, pero con la ayuda del amigo Carlos Valderrama:
> Hola
> Primero tienes que conocer en qué línea esta
> iptables -nL INPUT --line-number
> de acuerdo a eso ya puedes eliminarlo
> iptables -D INPUT 4
> Saludos
> Darkmull
Muchas gracias, ya lo estoy probando y puedo eliminarlas, aunque no me
quita la del estatus "new" ( me pregunto que cullons habré hecho XD ).
Pero seguire probando y documentadome. Ya se por donde tirar y asin voy
aprendiendo.
Gracias, cuando lo tenga listo, pongo el solucionado
> Hola
> Sin ser yo tampoco un experto en iptables, ni mucho menos, me parece
> que acá te diste la respuesta tu mismo.
> La orden *tiene* que ser la misma.
> No estás teniendo en cuenta el *state NEW*
> Probá de agregarle un --state new a la linea de borrado. O algo asi
> Suerte
Gracias, que por probar no quede... luego ya leere y vere que hizo :P...
root@proxycorreo:~# iptables -D INPUT -p tcp --dport 3128 -j ACCEPT
- --state NEW
iptables v1.3.8: Unknown arg `--state'
Try `iptables -h' or 'iptables --help' for more information.
No le gusto ese argumento. Gracias de todas formas
Un saludo a todos y gracias.
- --
"Si los tontos volaran, el cielo se oscurecería"
No me envié correos en formatos propietarios
http://www.gnu.org/philosophy/no-word-attachments.es.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJM0sSJAAoJEOWNzQnqy+fzhgsH/1urq2kCnVKwVbb9CD+QuJl5
vdx92bfm/aX+m2nBXYQp7SbBqBIOoe5KgN6x/8UiTR17lJ1trcEc33BHyF8Bt+Pc
Or6yVbVVKrk9WALkPWY/q2GLqDNi9PxJBhC15dzg/kcBiO+X3W3pkH3BVAWjg8Ic
REk8LGbUTh60tF4wVRCXLDcYrFzfffcqOECH1N7vG6CQKyLi4FHVO2uUvhhxpgkN
vPD5npjyRXpsoanK/pPNKlrJc9lI6s20y09EBisIeI53kjWuU68vtT0yAyYHqYS+
F3RrkTfZEGw3rCKia/crsJIxh7Qef1guq+tG87dgW2qwg83PdLZ94ljvBlcxheg=
=RrSG
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP12914B9AB...@phx.gbl
jmramirez
Hash: SHA1
>> Hola
>
>> Primero tienes que conocer en qué línea esta
>
>> iptables -nL INPUT --line-number
>
>> de acuerdo a eso ya puedes eliminarlo
>
>> iptables -D INPUT 4
>
>> Saludos
>> Darkmull
Buenas...
Esta ha sido la clave..... Con el comando "iptables -nL" a secas, fui
linea por linea buscando hasta que di con esta:
Chain imodules (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:8110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:3129
Para listar la linea hice esto:
root@proxycorreo:~# iptables -nL imodules --line-number
Chain imodules (1 references)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state
NEW tcp dpt:8110
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state
NEW tcp dpt:3129
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state
NEW tcp dpt:3128
Para eliminarlo use esta orden:
root@proxycorreo:~# iptables -D imodules 3
Y al comprobarlo todo Perfecto.
root@proxycorreo:~# iptables -nL imodules --line-number
Chain imodules (1 references)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state
NEW tcp dpt:8110
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state
NEW tcp dpt:3129
Carlos Valderrama... apuntate una birra a mi nombre XD...... tas invitao
PD: Antes eliminaba la linea INPUT y tenia que poner el nombre del
¿modulo? (imodules) espero no haber roto mucho... XD
Un saludo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJM0sucAAoJEOWNzQnqy+fzbwcH/jLOdcoQlWuGx/YN1jEgrT/5
h/XMtdELHwvle2AqvuliXUIeYx0N0y7w0UTsCmqOwhf/SV62R+psjEiqugbtCyGK
AzyNiBfmKP2qm00ZOBtsieKHcZCB/d1I8Jx8pjUJ3LeFtmpCfIZW4Tx4xIvhDLva
9ULbUc/wTHnKxNvki+Ov0xz+xj2/Xpa37wIwElq+Gr2vySsFRpjIDeS4cIQ/26rY
hYLFmIWFCavBPMR1puvotOmx51FEdI+F7SxteGt3+WlY7Q/8NxDCGYn02xY3f2F0
8yHkoWS3ZKXfJB8xhR7n5keqJJyMgUy2/i8aTzdO/6BrguyZJ0vFhPF89Qpm3ho=
=kyAQ
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP102EA5EAF...@phx.gbl
Carlos Valderrama
iptables -N PERMISOS-VNC
y se le da una referencia (INPUT, OUTPUT, FORWARD)
iptables -A INPUT -p tcp -m tcp --dport 5900 -j PERMISOS-VNC
y luego aplicas ya reglas sobre esa cadena
iptables -A PERMISOS-VNC -s source -d destino -p tcp -m tcp --sport 1024:
--dport 5900 -m state --state NEW -m mac --mac-source mac -m comment
--comment "VNC HACIA" -j ACCEPT
en realidad no es tan dificil aprender iptables pero si un poco complicado
P.D.: Gracias por la birra justo necesitaba una para relajarme y seguir
trabajando jajaja SALUD!!!
Saludos
Darkmull
-----Mensaje original-----
De: jmramirez [mailto:mas_...@hotmail.com]
Enviado el: jueves, 04 de noviembre de 2010 10:05 a.m.
Para: debian-us...@lists.debian.org
Asunto: Re: [OT] eliminar regla DROP en iptables [SOLUCIONADO]
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 5591 (20101104) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/002e01cb7c36$957656f0$c06304d0$@perucam.com
jmramirez
Hash: SHA1
> No es un nombre de modulo sino una cadena, esas se crean
>
> iptables -N PERMISOS-VNC
>
> y se le da una referencia (INPUT, OUTPUT, FORWARD)
>
> iptables -A INPUT -p tcp -m tcp --dport 5900 -j PERMISOS-VNC
>
> y luego aplicas ya reglas sobre esa cadena
>
> iptables -A PERMISOS-VNC -s source -d destino -p tcp -m tcp --sport 1024:
> --dport 5900 -m state --state NEW -m mac --mac-source mac -m comment
> --comment "VNC HACIA" -j ACCEPT
>
> en realidad no es tan dificil aprender iptables pero si un poco complicado
>
> P.D.: Gracias por la birra justo necesitaba una para relajarme y seguir
> trabajando jajaja SALUD!!!
Me temo que por el bien de tu trabajo, no te puedo invitar a otra.
Resulta que me ha venido muy bien tu comentario, para incluir la regla
correcta a mano:
root@proxycorreo:~# iptables -A imodules -p tcp --dport 3128 -j ACCEPT
root@proxycorreo:~# iptables -nL imodules
Chain imodules (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW
tcp dpt:8110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
Un saludo y gracias de nuevo...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJM0teHAAoJEOWNzQnqy+fz4c0IAMBmhaJhb9SsQ6HTNSzdzbuf
cNVQi+BXCaPHszTd6+EuzdeEwxJNCrcqnqZyQcW3NYXY0OKGOPhRgB4li4qxt+ML
2FNzNqSgZmr6mAFcxNvYXtJJPlxxmXZRLT4Ck4mUf8uapBdfwxmVIl4xAMv+fzj8
UQq6fD88JuNu8QrNwl5q1I/c9LilEBJLk120qVugOH3rzmwpxw6uqKWOQytlGh8z
3ueTPLr11y76TK5o3FbTpIFJYfxNuoYnvCMRUIaswBJ/bNzTHIDVFiiI5cL72lyQ
XnZsfdX7rv+agfYD5n1/UNsRk4s2G1vFR6GtVtoCAPMa+MXkMb8uyWoC8uibsLk=
=kJ32
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP112C2B3F6...@phx.gbl
Carlos Valderrama
root@proxycorreo:~# iptables -nL imodules Chain imodules (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp
dpt:8110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
No olvides que las conexiones son nuevas asi que modificala, sino me
equivoco es la línea 2 asi que
iptables -R imodules 2 -p tcp -m tcp --sport 1024: --dport 3128 -m state
--state NEW -j ACCEPT
Saludos
Darkmull
P.D.: jajaja asi como trabajo bajo presion, tambien trabajo bien bajo
efectos de un poco de alcohol jajaja
-----Mensaje original-----
De: jmramirez [mailto:mas_...@hotmail.com]
Enviado el: jueves, 04 de noviembre de 2010 10:56 a.m.
Para: Carlos Valderrama
CC: debian-us...@lists.debian.org
Asunto: Re: [OT] eliminar regla DROP en iptables [SOLUCIONADO]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 5591 (20101104) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/003f01cb7c39$7aa365e0$6fea31a0$@perucam.com
Jorge A. Secreto
>> Hola
>> Sin ser yo tampoco un experto en iptables, ni mucho menos, me parece
>> que acá te diste la respuesta tu mismo.
>> La orden *tiene* que ser la misma.
>> No estás teniendo en cuenta el *state NEW*
>> Probá de agregarle un --state new a la linea de borrado. O algo asi
>
>> Suerte
>
> Gracias, que por probar no quede... luego ya leere y vere que hizo :P...
>
> root@proxycorreo:~# iptables -D INPUT -p tcp --dport 3128 -j ACCEPT
> - --state NEW
> iptables v1.3.8: Unknown arg `--state'
> Try `iptables -h' or 'iptables --help' for more information.
>
> No le gusto ese argumento. Gracias de todas formas
>
En el ejemplo este que pusiste acá estás tratando de borrar la que
agregaste vos, no la original
Sólo para que me deje de molestar:
poné el --state NEW antes del -j DROP
en todo caso agregale un m state antes
y decinos que pasó, porque según el man tiene que reconocer el comando.
¿que versión de iptables tenés?
--
Jorge A Secreto
Analista de Sistemas
MP 361
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/AANLkTin+y06KfE0KithQb...@mail.gmail.com
jmramirez
Hash: SHA1
>>> Hola
>>> Sin ser yo tampoco un experto en iptables, ni mucho menos, me parece
>>> que acá te diste la respuesta tu mismo.
>>> La orden *tiene* que ser la misma.
>>> No estás teniendo en cuenta el *state NEW*
>>> Probá de agregarle un --state new a la linea de borrado. O algo asi
>>
>>> Suerte
>>
>> Gracias, que por probar no quede... luego ya leere y vere que hizo :P...
>>
>> root@proxycorreo:~# iptables -D INPUT -p tcp --dport 3128 -j ACCEPT
>> - --state NEW
>> iptables v1.3.8: Unknown arg `--state'
>> Try `iptables -h' or 'iptables --help' for more information.
>>
>> No le gusto ese argumento. Gracias de todas formas
>>
>
> En el ejemplo este que pusiste acá estás tratando de borrar la que
> agregaste vos, no la original
>
> Sólo para que me deje de molestar:
> poné el --state NEW antes del -j DROP
> en todo caso agregale un m state antes
>
> y decinos que pasó, porque según el man tiene que reconocer el comando.
> ¿que versión de iptables tenés?
Buenas....
Gracias por el dato, pero ya no tengo la otra regla, porque pude
eliminarla. Por lo que no puedo verificarlo.
Mi version de iptables es:
root@proxycorreo:~# dpkg -l | grep iptables
ii iptables
2:1.3.8.0debian1-1ubuntu2layer7 administration tools for packet
filtering an
Os recuerdo que es una ubuntu hardy
##########iptables --help | grep state no dio resultados
root@proxycorreo:~# iptables --help
iptables v1.3.8
Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--goto -g chain
jump to chain with no return
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.
##########
Un saludo
- --
"Si los tontos volaran, el cielo se oscurecería"
No me envié correos en formatos propietarios
http://www.gnu.org/philosophy/no-word-attachments.es.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJM0uWiAAoJEOWNzQnqy+fzqTwIAKe1y7F4nRsTvXRc7w4ne5EE
NUZrcUzgaPOSmIViYj/cOL17Vdnuu7QAvdvoRbRaTE9Ty42atCVPbf+AoO2n320q
6+6LlM6OBYwQq9ahs4qPXFpQ1TOqEhwMzbUctgq8Unw8s1nRKZc87qie87sc4GTp
wvoUK1yCwla9XSI3KAa3uL9yYo7112Y59t+jDhMpwdb8+jXwxy52Ybyjv1hYWXAa
gDbELZIQ0FG4RlfTU67GW606OQ3AV1iecvZuKU5F4C6Nctx7nB3bHiX6Vdq9btnr
1FtwQ28U1DJmt+s7wF2aMkLQrPY/EX0uGaUC/cDIGfPb4rojLrGxU1mB2eAe03M=
=vmhn
-----END PGP SIGNATURE-----
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP1258330C4...@phx.gbl
Jorge A. Secreto
<cva...@perucam.com> escribió:
> No es un nombre de modulo sino una cadena, esas se crean
>
> iptables -N PERMISOS-VNC
>
> y se le da una referencia (INPUT, OUTPUT, FORWARD)
>
> iptables -A INPUT -p tcp -m tcp --dport 5900 -j PERMISOS-VNC
>
> y luego aplicas ya reglas sobre esa cadena
>
> iptables -A PERMISOS-VNC -s source -d destino -p tcp -m tcp --sport 1024:
> --dport 5900 -m state --state NEW -m mac --mac-source mac -m comment
> --comment "VNC HACIA" -j ACCEPT
>
> en realidad no es tan dificil aprender iptables pero si un poco complicado
>
Seeeehhhh!
cada vez que quise aprender iptables terminé lleno de abollones :-P
¿aprendiste solo o encontraste algún manual que explique bien, como
para aprender?
Me fustra no estar nunca seguro de como cuernos hay que definir las reglas
--
Jorge A Secreto
Analista de Sistemas
MP 361
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/AANLkTin5TbgAyRpSkkdG...@mail.gmail.com
gonzalo rivero
> El día 4 de noviembre de 2010 12:40, Carlos Valderrama
> <cva...@perucam.com> escribió:
> > No es un nombre de modulo sino una cadena, esas se crean
> >
> > iptables -N PERMISOS-VNC
> >
> > y se le da una referencia (INPUT, OUTPUT, FORWARD)
> >
> > iptables -A INPUT -p tcp -m tcp --dport 5900 -j PERMISOS-VNC
> >
> > y luego aplicas ya reglas sobre esa cadena
> >
> > iptables -A PERMISOS-VNC -s source -d destino -p tcp -m tcp --sport 1024:
> > --dport 5900 -m state --state NEW -m mac --mac-source mac -m comment
> > --comment "VNC HACIA" -j ACCEPT
> >
> > en realidad no es tan dificil aprender iptables pero si un poco complicado
> >
>
> Seeeehhhh!
> cada vez que quise aprender iptables terminé lleno de abollones :-P
> ¿aprendiste solo o encontraste algún manual que explique bien, como
> para aprender?
> Me fustra no estar nunca seguro de como cuernos hay que definir las reglas
>
de documentación. Seguramente te ayuden.
Aun cuando ya lo sepas, te recomiendo empezar por el de redes, al menos
para refrescar la memoria
>
> --
> Jorge A Secreto
> Analista de Sistemas
> MP 361
>
>
--
no alimente al sysadmin >:-)
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1288891455....@EeePC.ucasal.ar
Carlos Valderrama
empresas que trabaje el primer dia me mandaron a poner políticas en DROP a
un servidor
de producción, ahí fui donde me acorde de un comando super archi importante
para entender poco a poco, iptables-save -c > reglas-iptables-fecha.txt, con
esto
volcaba todas las reglas y las estudiaba y así poco a poco empecé a
entenderlo y a dominarlo pero claro de todas maneras por ahí hay cosas que
fallan entonces
un iptables-restore < reglas-iptables-fecha.txt y listo, primero lei el
archivo volcado de las reglas comparaba las cadenas buscando una parecida a
la que necesitaba
la copiaba y modificaba los parámetros necesarios y luego cargaba ese
archivo volcado y me ayudo bastante, ahora por ejemplo todos los servers que
tengo los tengo
con políticas en DROP pero antes de eso creo la cadena PERMISOS-SSH y le
mando el puerto 22 y ahí empiezo a abrir lo que necesito lo demás lo
descarto, y si por ahí
tengo que abrir un puerto que no sabía le pongo un log al iptables y listo.
Espero que te haya ayudado en tus preguntas e inconvenientes, realmente
prefiero usar iptables a mano en vez de algún front-end o similares, además
un Firewall/Proxy
Router/Firewall u Bridge/Firewall en mi humilde opinión no deberían de tener
entorno gráfico, solo cargado lo necesario.
Saludos
Darkmull
-----Mensaje original-----
De: Jorge A. Secreto [mailto:jorges...@gmail.com]
Enviado el: jueves, 04 de noviembre de 2010 12:19 p.m.
Para: debian-us...@lists.debian.org
Asunto: Re: [OT] eliminar regla DROP en iptables [SOLUCIONADO]
El día 4 de noviembre de 2010 12:40, Carlos Valderrama <cva...@perucam.com>
http://lists.debian.org/AANLkTin5T=AyRpSkkdG7=cHgSPgJOu...@mail.gmail
.com
__________ Información de ESET NOD32 Antivirus, versión de la base de firmas
de virus 5591 (20101104) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/005901cb7c45$c26cd0d0$47467270$@perucam.com
Jorge A. Secreto
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>
> Gracias por el dato, pero ya no tengo la otra regla, porque pude
> eliminarla. Por lo que no puedo verificarlo.
si, ya lei el otro mail
>
> Mi version de iptables es:
>
> root@proxycorreo:~# dpkg -l | grep iptables
> ii iptables
> 2:1.3.8.0debian1-1ubuntu2layer7 administration tools for packet
> filtering an
>
> Os recuerdo que es una ubuntu hardy
>
> ##########iptables --help | grep state no dio resultados
Es por eso que le preguntaba a Carlos si el había aprendido a los
golpes, solo, o había encontrado algún manual en 'cristiano'. :-D
Iptables es *muy* potente y tiene una pila de opciones para configurarlo
pero el manual, a mi, me ayuda muy poco.
Para buscar ayuda sobre la opción state:
# iptables -m state -h
que de cualquier manera no se mata dandote ayuda :-)
agrega esto (o parecido) al final de la ayuda
state v1.2.11 options:
[!] --state [INVALID|ESTABLISHED|NEW|RELATED|UNTRACKED][,...]
State(s) to match
Un abrazo
--
Jorge A Secreto
Analista de Sistemas
MP 361
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/AANLkTikEEtjBn2-kMcBUT...@mail.gmail.com
Jorge A. Secreto
<cva...@perucam.com> escribió:
> Jajaja, bueno iptables lo aprendí como se dice a lo bruto, en una de las
> empresas que trabaje el primer dia me mandaron a poner políticas en DROP a
> un servidor de producción
Gracias Darkmull. Si, así he hecho lo poco que necesité tocar. :-(
El día 4 de noviembre de 2010 14:24, gonzalo rivero
<fishfr...@gmail.com> escribió:
> en http://www.netfilter.org/ hay un par de tutoriales/howto en la parte
> de documentación. Seguramente te ayuden.
> Aun cuando ya lo sepas, te recomiendo empezar por el de redes, al menos
> para refrescar la memoria
>
Gracias Gonzalo.
Voy a aplicarme una recomendación que les hago a los profesionales que
trabajan conmigo:
"Garrá lo'libro, garrá!" :-P
--
Jorge A Secreto
Analista de Sistemas
MP 361
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/AANLkTikxNVD2jLTPPMgBY...@mail.gmail.com