Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

iptables: permitir conexiones input desde un ip dinamica

0 views
Skip to first unread message

Wootux

unread,
May 14, 2005, 10:00:14 AM5/14/05
to
Wenasss, tengo una woody configurada como router, con iptables y
keria permitir conexiones entrantes desde un ip remota dinámica.
Mirando manuales encontre que se podía filtrar por mac con una regla
de este estilo:

iptables -A INPUT -i eth0 -m mac --mac-source 00-00-00-00-00-00 -p
tcp --dport 22 -j ACCEPT

pero esta regla no me sirvió, kreo entender que no funciona porque
el filtro por mac solo funciona, si el equipo esta conectado
directamente al router, pero el caso es que lo quiero con
equipos remotos, estoy en lo cierto¿?
Sabeis alguna manera de hacer lo que quiero¿?
No me parece buena idea abrir el puerto a todas las conexiones
entrantes, ni tener que ir pidiendo la ip, cada vez que cambie.


P.d.: En las reglas de iptabls tengo a drop la politica por defecto

--
Salu2,
Wootux


============================================================
Por favor, NO utilice formatos de archivo propietarios para el
intercambio de documentos, como DOC y XLS, sino HTML, RTF, TXT, CSV o
cualquier otro que no obligue a utilizar un programa de un
fabricante concreto para tratar la información contenida en él.
============================================================

---- Europa libre de patentes de software. Open source is the way.
Este e-mail ha sido escaneado por un antivirus actualizado.
Escrito bajo la licencia Creative Commons: http://creativecommons.org/licenses/by-nc-sa/2.0/es/


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Ricardo Frydman

unread,
May 14, 2005, 10:00:13 AM5/14/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wootux wrote:
> Wenasss, tengo una woody configurada como router, con iptables y
> keria permitir conexiones entrantes desde un ip remota dinámica.
> Mirando manuales encontre que se podía filtrar por mac con una regla
> de este estilo:
>
> iptables -A INPUT -i eth0 -m mac --mac-source 00-00-00-00-00-00 -p
> tcp --dport 22 -j ACCEPT

yo este problema lo solucioné usando en el equipo con ip dinámica los
servicios de dyndns o zoneedit, y luego filtras por el nombre de
dominio, tanto en el servidor ssh como en la regla de iptables.

>
> pero esta regla no me sirvió, kreo entender que no funciona porque
> el filtro por mac solo funciona, si el equipo esta conectado
> directamente al router, pero el caso es que lo quiero con
> equipos remotos, estoy en lo cierto¿?
> Sabeis alguna manera de hacer lo que quiero¿?
> No me parece buena idea abrir el puerto a todas las conexiones
> entrantes, ni tener que ir pidiendo la ip, cada vez que cambie.
>
>
> P.d.: En las reglas de iptabls tengo a drop la politica por defecto
>


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFChgSbkw12RhFuGy4RAtJNAJ9yF9JGa4A9l9Lwz8TQxKQNagfKhQCfXzen
LptvZrBgO6nT/8q6QMsx6Hs=
=33FO
-----END PGP SIGNATURE-----

Wootux

unread,
May 14, 2005, 10:20:05 AM5/14/05
to
Wenasss Ricardo,

Con fecha sábado, 14 de mayo de 2005, 16:00:59, escribió:

> yo este problema lo solucioné usando en el equipo con ip dinámica los
> servicios de dyndns o zoneedit, y luego filtras por el nombre de
> dominio, tanto en el servidor ssh como en la regla de iptables.

era una solucion que ya me habia ocurrido, pero el problema es k los
equipos que quiero filtrar no son mios, no me gusta tener que instalar
ningún programa para actualizar la ip con estos servicios. De todas
formas sino encuentro otra opción acabaré por usar dyndns.

--
Salu2,
Wootux


============================================================
Por favor, NO utilice formatos de archivo propietarios para el
intercambio de documentos, como DOC y XLS, sino HTML, RTF, TXT, CSV o
cualquier otro que no obligue a utilizar un programa de un
fabricante concreto para tratar la información contenida en él.
============================================================

---- Europa libre de patentes de software. Open source is the way.
Este e-mail ha sido escaneado por un antivirus actualizado.
Escrito bajo la licencia Creative Commons: http://creativecommons.org/licenses/by-nc-sa/2.0/es/

Pablo Braulio

unread,
May 14, 2005, 12:30:23 PM5/14/05
to

>
> acabo de probar lo que me comentas, y tiene un problema. Cuando creo
> las reglas, filtra la ip que este en ese momento en el equipo, pero si
> cambia la ip, el filtro no se actualiza y tendria que volver a crear
> la regla. Lo único que se me ocurrio es crear un script con cron, que
> cada cierto tiempo compruebe la ip del equipo remoto, y si la ip
> cambio, vuelva a generar las reglas.
>
Yo también pensé en su día en la solución que te han comentado, y no resultó
buena. El problema es que los servidores DNS no se refrescan y entonces no te
funciona la regla.


--
Saludos.
Pablo

Fingerprint 5607 40CF 45EF D490 B794  5056 D7B2 C3DC ABF1 CE49
Jabber: br...@bulmalug.net
http://www.aldiagestion.com

Wootux

unread,
May 14, 2005, 12:30:22 PM5/14/05
to
Wenasss Ricardo,

Con fecha sábado, 14 de mayo de 2005, 16:00:59, escribió:

> yo este problema lo solucioné usando en el equipo con ip dinámica los
> servicios de dyndns o zoneedit, y luego filtras por el nombre de
> dominio, tanto en el servidor ssh como en la regla de iptables.

acabo de probar lo que me comentas, y tiene un problema. Cuando creo


las reglas, filtra la ip que este en ese momento en el equipo, pero si
cambia la ip, el filtro no se actualiza y tendria que volver a crear
la regla. Lo único que se me ocurrio es crear un script con cron, que
cada cierto tiempo compruebe la ip del equipo remoto, y si la ip
cambio, vuelva a generar las reglas.

--
Salu2,
Wootux


============================================================
Por favor, NO utilice formatos de archivo propietarios para el
intercambio de documentos, como DOC y XLS, sino HTML, RTF, TXT, CSV o
cualquier otro que no obligue a utilizar un programa de un
fabricante concreto para tratar la información contenida en él.
============================================================

---- Europa libre de patentes de software. Open source is the way.
Este e-mail ha sido escaneado por un antivirus actualizado.
Escrito bajo la licencia Creative Commons: http://creativecommons.org/licenses/by-nc-sa/2.0/es/

Ricardo Frydman

unread,
May 16, 2005, 8:30:26 AM5/16/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wootux wrote:
> Wenasss Ricardo,
>
> Con fecha sábado, 14 de mayo de 2005, 16:00:59, escribió:
>
>
>>yo este problema lo solucioné usando en el equipo con ip dinámica los
>>servicios de dyndns o zoneedit, y luego filtras por el nombre de
>>dominio, tanto en el servidor ssh como en la regla de iptables.
>
>
> acabo de probar lo que me comentas, y tiene un problema. Cuando creo
> las reglas, filtra la ip que este en ese momento en el equipo, pero si
> cambia la ip, el filtro no se actualiza y tendria que volver a crear
> la regla. Lo único que se me ocurrio es crear un script con cron, que
> cada cierto tiempo compruebe la ip del equipo remoto, y si la ip
> cambio, vuelva a generar las reglas.
>

evidentemente no has comprendido lo que yo dije, te lo pongo con un ejemplo:

tu ip actual es 111.111.111.111
vas a zoneedit o dyndns o lo que sea y te anotas alli y te guardas el
dominio "wootux.miip.net"

instalas ddclient en tu PC

lo configuras para que enlace la ip (actual) 111.111.111.111 ese dominio

luego cuando geners la regla de iptables en vez de filtrar por
111.111.111.111, filtras por wootux.miip.net.
Listo! no necesitas refrescar nada ni hacer ningun script, ya ddclient
se encarga de eso

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFCiJHYkw12RhFuGy4RAqjeAJwK1LwDC4cBv7t/LKAnMC63DwhENgCfdkhV
T6LdXL8ESGmtouUFEHwGYf0=
=PKmz
-----END PGP SIGNATURE-----

Ricardo Frydman

unread,
May 16, 2005, 8:30:31 AM5/16/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pablo Braulio wrote:
>>acabo de probar lo que me comentas, y tiene un problema. Cuando creo
>>las reglas, filtra la ip que este en ese momento en el equipo, pero si
>>cambia la ip, el filtro no se actualiza y tendria que volver a crear
>>la regla. Lo único que se me ocurrio es crear un script con cron, que
>>cada cierto tiempo compruebe la ip del equipo remoto, y si la ip
>>cambio, vuelva a generar las reglas.
>>
>
> Yo también pensé en su día en la solución que te han comentado, y no resultó
> buena. El problema es que los servidores DNS no se refrescan y entonces no te
> funciona la regla.
>
>

A mi nunca me dio problemas en ninguno de los servidores que adminstro y
administre en los ultimos 2 años.

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFCiJIXkw12RhFuGy4RAtQsAKCM0m9qDGdqUIjW2enxS5hi2FSyGACfekmS
GA2cOtAJdHTUyqeJDXr69no=
=B9FC
-----END PGP SIGNATURE-----

0 new messages