Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

cortar conexiones establecidas con iptables

66 views
Skip to first unread message

Roberto Pereyra

unread,
Sep 7, 2006, 6:00:21 PM9/7/06
to
Hola

¿Alguien sabe como cortar en un firewall con iptables las conexiones
establecidas ?

Yo quiero a determinada hora cambiar las reglas del firewall, pero
cuando lo hago las conexiones establecidas anteriormente mantienen las
conexiones.

Gracias por cualquier ayuda.

roberto

--
Ing. Roberto Pereyra
ContenidosOnline
Looking for Linux Virtual Private Servers ? Click here:
http://www.spry.com/hosting-affiliate/scripts/t.php?a_aid=426&a_bid=56

Iñaki

unread,
Sep 7, 2006, 6:20:09 PM9/7/06
to
El Jueves, 7 de Septiembre de 2006 23:56, Roberto Pereyra escribió:
> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?
>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.

No es tan sencillo, las conexiones se mantienen en el caso de que tus nuevas
reglas también incluyan algo así:

-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Se me ocurre que podrías vaciar el archivo que contiene precisamente las
conexiones (espero no equivocarme):

echo "" > /proc/net/cat ip_conntrack

--
Iñaki

manuel...@fibertel.com.ar

unread,
Sep 7, 2006, 6:50:07 PM9/7/06
to
Roberto Pereyra escribió:

> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?
>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.
>
> Gracias por cualquier ayuda.
>
> roberto
>


creo (aunque no estoy seguro) que si bien la conexion se mantiene... al
aplicar la nuevas reglas, los paquetes se dropearian (o la accion que
sea)... asi que el efecto es el mismo...

mhh.. no estoy seguro..

slds


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

Iñaki

unread,
Sep 7, 2006, 6:50:07 PM9/7/06
to
El Viernes, 8 de Septiembre de 2006 00:42, manuel...@fibertel.com.ar
escribió:

> Roberto Pereyra escribió:
> > Hola
> >
> > ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> > establecidas ?
> >
> > Yo quiero a determinada hora cambiar las reglas del firewall, pero
> > cuando lo hago las conexiones establecidas anteriormente mantienen las
> > conexiones.
> >
> > Gracias por cualquier ayuda.
> >
> > roberto
>
> creo (aunque no estoy seguro) que si bien la conexion se mantiene... al
> aplicar la nuevas reglas, los paquetes se dropearian (o la accion que
> sea)... asi que el efecto es el mismo...
>
> mhh.. no estoy seguro..

Él precisamente dice que las conexiones se mantienen, lo que significa que
esas comunicaciones se siguen permitiendo (los paquetes se dejan pasar).

Esto tiene todo el sentido del mundo siempre que en las nuevas reglas no se
haya denegado el paso a paquetes pertenecientes a conexiones ESTABLISHED.

Saludos.


--
Iñaki

manuel...@fibertel.com.ar

unread,
Sep 7, 2006, 6:50:09 PM9/7/06
to
Roberto Pereyra escribió:

> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?
>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.
>
> Gracias por cualquier ayuda.
>
> roberto
>

creo (aunque no estoy seguro) que si bien la conexion se mantiene... al
aplicar la nuevas reglas, los paquetes se dropearian (o la accion que
sea)... asi que el efecto es el mismo...

mhh..


Diego A. Gomez

unread,
Sep 8, 2006, 1:20:12 AM9/8/06
to
Roberto Pereyra wrote:
> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?
>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.
>
> Gracias por cualquier ayuda.
>
> roberto

Hola!
A qué te refieres con "mantienen las conexiones"?
- Si te refieres al resultado de netstat -t (por ejemplo), eso indica el
estado para ese "flujo de conexión", pero no quiere decir que siga
habiendo tráfico en esa "conexión".
- Si te refieres a que sigue habiendo flujo de datos para esa
"conexión", quiere decir que hay algún error en el cambio de reglas del
firewall.

Para poder ayudarte más sería bueno saber que necesitas hacer, y las
reglas de firewall que estás usando.

Saludos.

--
Diego.-

Francisco G.

unread,
Sep 8, 2006, 4:20:09 AM9/8/06
to
Sería algo así:
"-p tcp ! --syn -j REJECT --reject-with tcp-reset"

Pero sino dejas más datos sobre las reglas que necesitas cambiar no se
puede hacer mucho más.

Un Saludo.

Carlos Martinez

unread,
Sep 8, 2006, 5:50:09 AM9/8/06
to
Roberto Pereyra escribió:

> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?
>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.
>
> Gracias por cualquier ayuda.
>
> roberto
>
Hola.

Yo creo que a mí me las corta. Lo que hago es esto, cuando cambio las
reglas:
- Limpio los chains y devuelvo las acciones por defecto a ACCEPT.
- Vuelvo a aplicar el script del cortafuegos, que pone por defecto a
DROP y usa reglas más o menos así:

iptables -A FORWARD -p tcp -j PAQMALFORM
iptables -A FORWARD -p tcp -i $INTERFAZ1 -o $INTERFAZ2 -j ACCEPT
iptables -A FORWARD -p tcp -o $INTERFAZ1 -i $INTERFAZ2 ! --syn -j ACCEPT

El chain PAQMALFORM, comprueba que cuando es una nueva conexión se use
el bit syn. Si nó, va a DROP.

Pero claro, si no limpia de alguna manera la información de conexiones
en estado ESTABLISHED, tenemos el problema tuyo.
No sé si al limpiar los chains se elimina tb la información esa. Ahí me
pierdo. Pero creo que mis usuarios pierden la conexión (vamos que creo
que les deja de funionar lo que estuvieran haciendo).

Espero haber ayudado.

Saludos.

Carlos.

Roberto Pereyra

unread,
Sep 8, 2006, 8:50:10 AM9/8/06
to
2006/9/8, Carlos Martinez <cmart...@gmail.com>:


las reglas concretas son:

echo "Bloqueando trafico P2P"

## FLUSH de reglas
/usr/local/sbin/iptables -F
/usr/local/sbin/iptables -X
/usr/local/sbin/iptables -Z
/usr/local/sbin/iptables -t nat -F
/usr/local/sbin/iptables -t mangle -F

## Bloqueo p2p


/usr/local/sbin/iptables -I FORWARD -m ipp2p --ipp2p -j DROP
/usr/local/sbin/iptables -I FORWARD -m ipp2p --bit -j DROP
/usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --winmx -j DROP
/usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --apple -j DROP
/usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --soul -j DROP
/usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --ares -j DROP


La idea es poder bloquear las conexiones que estaban establecidas
antes de que se corra el script.

Gracias por los aportes, voy a ver si los implemento hoy.

roberto

Iñaki

unread,
Sep 8, 2006, 2:50:14 PM9/8/06
to
El Viernes, 8 de Septiembre de 2006 14:05, Roberto Pereyra escribió:
> La idea es poder bloquear las conexiones que estaban establecidas
> antes de que se corra el script.
>
> Gracias por los aportes, voy a ver si los implemento hoy.


Roberto, ¿leíste mi sugerencia? la pego aquí de nuevo:

---------------------------------------------------


No es tan sencillo, las conexiones se mantienen en el caso de que tus nuevas
reglas también incluyan algo así:

  -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Se me ocurre que podrías vaciar el archivo que contiene precisamente las
conexiones (espero no equivocarme):

  echo "" > /proc/net/cat ip_conntrack
---------------------------------------------------

Tengo la corazonada de que debería funcionar, pero no lo garantizo. Tanto si
funciona como si no, en el caso en el que lo pruebes por favor confírmame si
sirve o no. Seguro que alguna vez necesitaré implementarlo yo.

Saludos.


--
Iñaki

Diego A. Gomez

unread,
Sep 9, 2006, 12:50:06 AM9/9/06
to
Roberto Pereyra wrote:
> las reglas concretas son:
>
> echo "Bloqueando trafico P2P"
>
> ## FLUSH de reglas
> /usr/local/sbin/iptables -F
> /usr/local/sbin/iptables -X
> /usr/local/sbin/iptables -Z
> /usr/local/sbin/iptables -t nat -F
> /usr/local/sbin/iptables -t mangle -F
>
> ## Bloqueo p2p
>
>
> /usr/local/sbin/iptables -I FORWARD -m ipp2p --ipp2p -j DROP
> /usr/local/sbin/iptables -I FORWARD -m ipp2p --bit -j DROP
> /usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --winmx -j DROP
> /usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --apple -j DROP
> /usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --soul -j DROP
> /usr/local/sbin/iptables -I FORWARD -p tcp -m ipp2p --ares -j DROP
>
>
> La idea es poder bloquear las conexiones que estaban establecidas
> antes de que se corra el script.

Si tu temor es que luego de aplicar las nuevas reglas a tu firewall siga
habiendo tráfico porque las conexiones te figuran ESTABLISHED, quedate
tranquilo que no sucederá.

Saludos

--
Diego.-

Javier de Miguel Rodríguez

unread,
Oct 4, 2006, 3:00:15 AM10/4/06
to
Roberto Pereyra escribió:

> Hola
>
> ¿Alguien sabe como cortar en un firewall con iptables las conexiones
> establecidas ?

Si, con una herramienta que se llama conntrackd

>
> Yo quiero a determinada hora cambiar las reglas del firewall, pero
> cuando lo hago las conexiones establecidas anteriormente mantienen las
> conexiones.
>
> Gracias por cualquier ayuda.
>
> roberto
>


--

norw...@norwegianlinux.org

unread,
Oct 4, 2006, 3:40:10 AM10/4/06
to
Aupa!

Hay una herramienta bastante útil, que si no recuerdo mal tenía un bug
para kernels 2.6 y supongo que ya se ha arreglado. Se llama "cutter" y
sirve, precisamente, para "terminar" conexiones establecidas.

Norwegian

0 new messages