Diferencia entre revisiones de «Iptables»
De gacq wiki
(→Comandos utiles) |
|||
| (No se muestra una edición intermedia de otro usuario) | |||
| Línea 27: | Línea 27: | ||
Des-bloquear una IP | Des-bloquear una IP | ||
<pre><nowiki> | <pre><nowiki> | ||
| − | iptables -D INPUT -s 25.55.55.55 -j | + | iptables -D INPUT -s 25.55.55.55 -j ACCEPT |
</nowiki></pre> | </nowiki></pre> | ||
| Línea 39: | Línea 39: | ||
-A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT | -A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT | ||
| − | = | + | = NAT = |
| − | * | + | * eth0: Internet |
| + | * eth1: LAN | ||
| + | <pre><nowiki> | ||
| + | echo 1 > /proc/sys/net/ipv4/ip_forward | ||
| + | /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
| + | /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| + | /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT | ||
| + | </nowiki></pre> | ||
Revisión actual del 09:52 15 abr 2010
Comandos utiles
Redireccionar lo que llegue al puerto 10910 al 993, es util cuando tenemos un puerto filtrado de salida y no podemos llegar hasta nuestro server.
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 10910 -j REDIRECT --to-port 993
Forwardear puertos a otra ip:puerto es util para instalar el emule o programas parecidos
$IPTABLES -t nat -A PREROUTING -i eth0 --protocol tcp --dport 4662 -j DNAT --to 192.168.3.3:4662 $IPTABLES -A FORWARD -i eth0 -p tcp --syn --dport 4662 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i eth0 --protocol udp --dport 4672 -j DNAT --to 192.168.3.3:4672 $IPTABLES -A FORWARD -i eth0 -p udp --dport 4672 -j ACCEPT
Forward
iptables -t nat -A PREROUTING -p tcp --dport 222 -i eth0 -j DNAT --to 192.168.0.1:22 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 800 -j DNAT --to 192.168.0.111:80
Bloquear una IP
iptables -I INPUT -s 25.55.55.55 -j DROP
Des-bloquear una IP
iptables -D INPUT -s 25.55.55.55 -j ACCEPT
Dejar entrar a una ip remota a un servicio local
iptables -I INPUT -s <ip-remota>-i $EXTERNA --protocol tcp --dport <puerto local> -j ACCEPT
Samba (I believe not teh best approach)
-A INPUT -p udp -m state --state NEW -m udp --dport 137:139 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT
NAT
- eth0: Internet
- eth1: LAN
echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
