Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 

Ver temas sin respuesta | Ver temas activos



Foros Linux » Administración del sistema » Seguridad


Nuevo tema Responder al tema
 Página 1 de 1
  [ 8 mensajes ] 
Patrocinadores

Autor
Buscar:
Mensaje
lmarza

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Lun Jul 21, 2008 11:00 pm
Mensajes: 4

Nota Publicado: Jue Jul 15, 2010 6:03 am 
Arriba  
Hola, una pregunta rapida, me sale el siguietne aviso al lanzar el script del iptables:
Código:
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: Can't use -P with -A

He revisado y no hay ningun -P sin -A, pero al jugar con mayusculas y minusculas me cambia la cantidad de warnings como este. Alguien me puede aclarar cuando se usan mayusculas/minusculas o algo sobre estos aisos?
Muchas gracias, saludos
Laura
 Perfil  
ohem

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Lun Oct 26, 2009 12:00 am
Mensajes: 28

Nota Publicado: Jue Jul 15, 2010 7:12 am 
Arriba  
Hola buen dia, mira para saber bien dodne esta el error, muestra el archivo , claro si quieres borrale las ips que tengas al archivo pa mostrarnos
 Perfil  
akodo

Desconectado
Moderador
Moderador
Avatar de Usuario

Registrado: Mié Nov 28, 2007 12:00 am
Mensajes: 1361
Ubicación: En la X del explorer (pulse para llamar)

Nota Publicado: Jue Jul 15, 2010 3:18 pm 
Arriba  
"Can´t use -P with -A" = "No se puede usar -P con -A"
Para mí que lo has interpretado mal...

_________________
Descargue el gestor de mp3 "Music Manager" -> (mmlf)
Última versión del gestor "Music Manager" -> (jmmm)
 Perfil  
pataro

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 17, 2008 11:00 pm
Mensajes: 330
Ubicación: Buenos Aires

Nota Publicado: Vie Jul 16, 2010 6:08 am 
Arriba  
Tal como indica akodo, el mensaje dice que no puedes utilizar "-P" con "-A" en la misma regla.

Tal como indica el manpage, "-P" se utiliza para indicar la politica por defecto a la cadena, sea INPUT, FORWARD, OUTPUT, etc. Esto generalmente se hace una sola vez al principio del script.
En cambio, "-A" se utiliza para agregar reglas a las tablas y cadenas.
Slds
 Perfil YIM  
lmarza

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Lun Jul 21, 2008 11:00 pm
Mensajes: 4

Nota Publicado: Vie Jul 16, 2010 6:15 am 
Arriba  
Pues si, lo he traducido mal, si es que cuando te encabezonas con algo.. :D
Gracias por la claracion -p / -P
Una vez cambiado -P por -P me sale otro error, que es un tema diferente pero si sabeis como lo puedo dejar mejor, tengo estas lineas:
Código:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.0.109/32 ! 10.1.10.3/32 ! 10.1.1.7/32 -d 0.0.0.0/0 --dport 80 -j DNAT --to 10.1.0.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.0.109/32 ! 10.1.10.3/32 ! 10.1.1.7/32 -d 0.0.0.0/0 --dport 443 -j DNAT --to 10.1.0.1:3128


Si lo dejo asi, me saca estos errores:
Código:
Bad argument `10.1.10.3/32'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `10.1.10.3/32'
Try `iptables -h' or 'iptables --help' for more information.


He revisado mejor y se me habia colado alguna mayuscula mas por ahi, pero ya las he corregido
Muchas gracias
 Perfil  
pataro

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 17, 2008 11:00 pm
Mensajes: 330
Ubicación: Buenos Aires

Nota Publicado: Vie Jul 16, 2010 6:48 am 
Arriba  
Hola lmarza, el problema es que no se pueden poner varias direcciones IP en el "-s". Debes hacerlo en reglas diferentes:

Código:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.0.109/32 --dport 80 -j DNAT --to 10.1.0.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.10.3/32 --dport 80 -j DNAT --to 10.1.0.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.1.7/32 --dport 80 -j DNAT --to 10.1.0.1:3128

iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.0.109/32 --dport 443 -j DNAT --to 10.1.0.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.10.3/32 --dport 443 -j DNAT --to 10.1.0.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 10.1.10.3/32 --dport 443 -j DNAT --to 10.1.0.1:3128


De todas maneras, creo que la mejor opcion es negar el INPUT a los puertos 80 y 443 a esas IP y luego hacer el PREROUTING. Pero gustos son gustos.

Slds
 Perfil YIM  
lmarza

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Lun Jul 21, 2008 11:00 pm
Mensajes: 4

Nota Publicado: Lun Jul 19, 2010 2:24 am 
Arriba  
pataro escribió:
De todas maneras, creo que la mejor opcion es negar el INPUT a los puertos 80 y 443 a esas IP y luego hacer el PREROUTING.


Hola Pataro, no suelo tocar muy a menudo IPTABLES, asi que te puedes hacer una idea del kko que me hago cada vez que me toca hacer algo. ¿Que ganaria negando el INPUT?
gracies, saludos
 Perfil  
pataro

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 17, 2008 11:00 pm
Mensajes: 330
Ubicación: Buenos Aires

Nota Publicado: Lun Jul 19, 2010 8:25 am 
Arriba  
Hola lmarza, solo en prolijidad en tu script.

Un script de IPTABLES bien organizado y prolijo te ayuda a tocar sin mayores miedos y que algun administrador "junior" pueda entenderlo a la segunda de haberlo leido.

Slds
 Perfil YIM  
Mostrar mensajes previos:  Ordenar por  
 Página 1 de 1
  [ 8 mensajes ] 
Nuevo tema Responder al tema

Saltar a:  


¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC - 6 horas
Traducción al español por Huan Manwë
phpBB SEO