<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
porque no intentas con estas reglas<br>
<br>
<br>
<br>
iptables -A INPUT -s 192.168.x.x -p tcp -m tcp --dport 22 -j ACCEPT<br>
iptables -A OUTPUT -d 192.168.x.x -p tcp -m tcp --dport 22 -j
ACCEPT<br>
<br>
y vas colocando uno por uno las reglas desde la linea de comando y
ves que pasa<br>
<br>
Saludos<br>
<br>
<br>
<br>
On 7/28/2010 2:57 PM, Eduardo Grosclaude wrote:
<blockquote
cite="mid:AANLkTi=0UVpG5N4Oca4ZuW6iyvoi0Guu43m150Nn-2NW@mail.gmail.com"
type="cite"><br>
<br>
<div class="gmail_quote">2010/7/28 daniel <span dir="ltr"><<a
moz-do-not-send="true" href="mailto:danielog2073@gmail.com">danielog2073@gmail.com</a>></span><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt
0.8ex; border-left: 1px solid rgb(204, 204, 204);
padding-left: 1ex;">
Hola lista tengo un problema con iptables y los puertos, lo
que pasa es que necesito abrir solo el puerto 22 de la maquina
con la IP 192.168.1.33 y que solo su pueda conectar con la
maquina 192.168.1.16 y viceversa, mi script es el siguiente:<br>
<br>
<br>
##!/bin/sh<br>
##SCRIPT de IPTABLES − ejemplo del manual de iptables<br>
## Ejemplo de script para firewall entre redes.<br>
## Pello Xabier Altadill Izura<br>
## <a moz-do-not-send="true" href="http://www.pello.info"
target="_blank">www.pello.info</a> − <a
moz-do-not-send="true" href="mailto:pello@pello.info"
target="_blank">pello@pello.info</a><br>
echo Aplicando Reglas de Firewall...<br>
## FLUSH de reglas<br>
iptables -F<br>
iptables -X<br>
iptables -Z<br>
iptables -t nat -F<br>
## Establecemos politica por defecto<br>
iptables -P INPUT DROP<br>
iptables -P OUTPUT DROP<br>
iptables -P FORWARD DROP<br>
##Permitir conexiones locales<br>
iptables -A INPUT -i 192.168.1.33 -j ACCEPT<br>
##Abrimos el puerto 22<br>
<br>
iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp
--dport 22 -j ACCEPT<br>
iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp
--sport 22 -j ACCEPT<br>
<br>
No se por que cuando hago un iptables -L -n<br>
me aparece esto:<br>
<br>
Chain INPUT (policy DROP)<br>
target prot opt source destination <br>
ACCEPT all -- <a moz-do-not-send="true"
href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
<a moz-do-not-send="true" href="http://0.0.0.0/0"
target="_blank">0.0.0.0/0</a> <br>
ACCEPT tcp -- 192.168.1.16 192.168.1.33
tcp dpt:22 <br>
<br>
Chain FORWARD (policy DROP)<br>
target prot opt source destination <br>
<br>
Chain OUTPUT (policy DROP)<br>
target prot opt source destination <br>
ACCEPT tcp -- 192.168.1.33 192.168.1.16
tcp spt:22 <br>
<br>
Y al momento de hacer un ssh de la maquina 192.168.1.16 a la
192.168.1.33 si me puedo conectar pero cuando me conecto de
192.168.1.33 a la 192.168.1.16 no puedo estuve jugando con las
reglas y me di cuenta que es al momento de asignarle el puerto
por que por ejemplo si la unicas reglas fueran:<br>
<br>
iptables -A INPUT -s 192.168.1.16 -d 192.168.1.33 -p tcp -j
ACCEPT<br>
iptables -A OUTPUT -s 192.168.1.33 -d 192.168.1.16 -p tcp -j
ACCEPT<br>
<br>
si me puedo conectar pero abviamente al no asignarle ningun
puerto las dos maquinas tiene comunicación por todos los
puertos algo que no quiero alquien tiene alguna idea?? la
versión de IPTABLES que manejo es la iptables v1.3.5 Gracias
de antemano.<br>
</blockquote>
<br>
El puerto 22 debería estar abierto en la máquina que recibe la
conexión SSH. Si no puedes conectarte a la 192.168.1.16 puede
ser que no has corrido tu script de firewall en ese equipo.<br>
<br>
Por otro lado, recuerda que no basta con abrir el puerto para
que exista el servicio de ssh, sino que debes activarlo con
"service sshd start".<br>
<br>
Otra cosa para recordar es que posiblemente tengas activado el
servicio iptables, que tiene su propio conjunto de reglas, y con
este script puede tener colisiones. Si vas a usar tus propias
reglas, es recomendable que bajes el servicio iptables para
evitar confusiones (de iptables y tuyas). Si en cambio sigues
usando el servicio iptables, busca el archivo
/etc/sysconfig/iptables y edita éste. Luego manejas el firewall
con service iptables stop/start. También en ese caso si usas
escritorio gráfico, además tienes una consola de administración
gráfica accesible desde el escritorio.<br clear="all">
</div>
<br>
-- <br>
Eduardo Grosclaude<br>
Universidad Nacional del Comahue<br>
Neuquen, Argentina<br>
<pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
CentOS-es mailing list
<a class="moz-txt-link-abbreviated" href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a>
<a class="moz-txt-link-freetext" href="http://lists.centos.org/mailman/listinfo/centos-es">http://lists.centos.org/mailman/listinfo/centos-es</a>
</pre>
</blockquote>
<br>
</body>
</html>