Go Back   Champions of Regnum > Español > La Taberna

La Taberna Un lugar para conversar sobre casi cualquier tema

View Poll Results: ¿Cambiará mishel a linux?
Siiii, uno más para nuestro ejercito de mentes libres!! 9 19.57%
Naaaaa... es un pt, no sabe ni como poner el microondas 24 52.17%
¿Qué es linux? 14 30.43%
No lo hará, pero es un grosso!! 8 17.39%
Multiple Choice Poll. Voters: 46. You may not vote on this poll

Reply
 
Thread Tools Display Modes
Old 06-05-2008, 08:04 PM   #71
takola
Count
 
Join Date: May 2007
Posts: 1,007
takola will become famous soon enough
Default

Quote:
Originally Posted by arlick


tako!!!

me afané unas reglas para iptables que pusiste en algún lado para ponerlas yo :P, tengo curiosidad de saber como lo tienes configurado todo, es posible?

me refiero a estas reglas:

iptables -t filter -A INPUT -i ath0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ath0 -j DROP

Ahora lo tengo así:

iptables -A INPUT -i ath0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ath0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ath0 -j DROP
que les pasa? Lo tuio aceptaria peticiones en el puerto 80 y las conexiones establecidas por ti en la iface ath0 (que chipset mas mono para wardriving ^^)

Tmb podrias aber puesto

iptables -A INPUT -i ath0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

asi esa regla solo acepta las peticiones nuevas y una vez establecidas son aceptadas por lap rimera regla (es lo mismo pero bue, paranoias mias )

Saludos
__________________
Takola Barbara ··· Aker Medico ··· Iraia Aprendiz de Thanus ··· Zakilixut Gigolo de oficio, tirapalillos de aficion ··· Kinki Guardian de las lindas elfas
Campurriano Inmerso en los secretos de la nigromancia ··· Cochinilla Enfermera sexy ··· ??? Trituramandados
Sex clan
takola no ha iniciado sesión   Reply With Quote
Old 06-05-2008, 08:06 PM   #72
Roldier
Banned
 
Roldier's Avatar
 
Join Date: Mar 2008
Location: Vivo en el foro.¡¡Que alguien me pase una almohada!!
Posts: 100
Roldier is on a distinguished road
Default

Ptsinconocimientosdeprogramaciondelmicroondasqueen vioamicasaaunosmatonesquemerompieronlabarraespacia dora
Roldier no ha iniciado sesión   Reply With Quote
Old 06-05-2008, 08:07 PM   #73
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

Quote:
Originally Posted by takolo
que les pasa? Lo tuio aceptaria peticiones en el puerto 80 y las conexiones establecidas por ti en la iface ath0 (que chipset mas mono para wardriving ^^)

Tmb podrias aber puesto

iptables -A INPUT -i ath0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

asi esa regla solo acepta las peticiones nuevas y una vez establecidas son aceptadas por lap rimera regla (es lo mismo pero bue, paranoias mias )

Saludos
no pasa nada, solo que me entró la curiosidad de saber como lo tienes configurado :P

Hace poco se me encendió la bombilla y me dí cuenta de como funciona iptables (sí... como cualquier otro firewall )
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 06-05-2008, 09:12 PM   #74
takola
Count
 
Join Date: May 2007
Posts: 1,007
takola will become famous soon enough
Default

Quote:
Originally Posted by arlick
no pasa nada, solo que me entró la curiosidad de saber como lo tienes configurado :P

Hace poco se me encendió la bombilla y me dí cuenta de como funciona iptables (sí... como cualquier otro firewall )
Sigamos desvirtuando...

Me pillas modificando el firewall...

Code:
#!/bin/sh
######

IPTABLES="/sbin/iptables"
IP="/sbin/ip"
TC="/sbin/tc"
INET_IFACE="eth0"
INET_IP=""
WIFI_IFACE="eth1"
WIFI_IP=""
LAN_IFACE="eth3"
LAN_IP=""

# Rates (in kbits)
UPRATE="300"

# Other
MAXP2PCONN="200"

#IPTABLES rules

#default policies
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT

# Flushing all tables
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -t nat -F

# flush & delete all queues
$TC qdisc del dev $INET_IFACE root 

### Filtering:
######

### Server INPUT
# from Wireless
$IPTABLES -A INPUT -i $WIFI_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT				#allow related & established
$IPTABLES -A INPUT -i $WIFI_IFACE -p udp --dport openvpn --destination $WIFI_IP -m state --state NEW -j ACCEPT	#allow openvpn
$IPTABLES -A INPUT -i $WIFI_IFACE -p udp --dport domain --destination $LAN_IP -m state --state NEW -j ACCEPT	#allow dns
$IPTABLES -A INPUT -i $WIFI_IFACE --dport ntp --destination $LAN_IP -m state --state NEW -j ACCEPT		#allow ntp
$IPTABLES -A INPUT -i $WIFI_IFACE -j DROP									#drop the rest

# from LAN
$IPTABLES -A INPUT -i $LAN_IFACE --destination ! $LAN_IP -j DROP	#allow input only to lan ip

# from Internet
$IPTABLES -A INPUT -i $INET_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT						#allow related & established
$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport ssh -m state --state NEW -m recent --set -j ACCEPT				#accept ssh
$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP	#bruteforce protection for ssh
# limit p2p connections
$IPTABLES -A POSTROUTING -o $INET_IFACE -m ipp2p --ipp2p -m limit --limit $MAXP2PCONN/s -j DROP
$IPTABLES -A INPUT -i $INET_IFACE -j DROP											#drop the rest

### FORWARD
# Wireless --> Internet
$IPTABLES -A FORWARD -i $WIFI_IFACE -o $INET_IFACE -m ipp2p --ipp2p -j DROP				#block P2P traffic

#Wireless --> LAN
$IPTABLES -A FORWARD -i $WIFI_IFACE -o $LAN_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT	#allow related & established
$IPTABLES -A FORWARD -i $WIFI_IFACE -o $LAN_IFACE -j DROP						#drop the rest

#Wireless --> VPN



### Packet marking for shaping
######

#### prio1: icmp, SYN, small ACK packets & domain 
$IPTABLES -t mangle -A POSTROUTING -m tos --tos Minimize-Delay -j MARK --set-mark 1				#Minimize-Delay traffic
$IPTABLES -t mangle -A POSTROUTING -m tos --tos Minimize-Delay -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p icmp -j MARK --set-mark 1							#outgoing icmp packets
$IPTABLES -t mangle -A POSTROUTING -p icmp -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p udp --dport domain -j MARK --set-mark 1					#outgoing dns queries
$IPTABLES -t mangle -A POSTROUTING -p udp --dport domain -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j MARK --set-mark 1		#outgoing SYN packets
$IPTABLES -t mangle -A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j RETURN
#$IPTABLES -t mangle -A POSTROUTING -p tcp -m length --length 0:128 -m tcp --tcp-flags SYN,RST,ACK ACK -j MARK --set-mark 1 #small ACK packets
#$IPTABLES -t mangle -A POSTROUTING -p tcp -m length --length 0:128 -m tcp --tcp-flags SYN,RST,ACK ACK -j RETURN
#prio2: regnum online
$IPTABLES -t mangle -A FORWARD -p tcp --dport 47300 -j MARK --set-mark 2
$IPTABLES -t mangle -A FORWARD -p tcp --dport 47300 -j RETURN
$IPTABLES -t mangle -A FORWARD -p tcp --dport 48000:48050 -j MARK --set-mark 2
$IPTABLES -t mangle -A FORWARD -p tcp --dport 48000:48050 -j RETURN
$IPTABLES -t mangle -A FORWARD -p udp --dport 9960:9963 -j MARK --set-mark 2					#Regnum Online udp traffic from clients
$IPTABLES -t mangle -A FORWARD -p udp --dport 9960:9963 -j RETURN
#prio3: interactive: interactive ssh, ftp control, ntp, mumble...
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport imap3 -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport imap3 -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport imaps -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport imaps -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport pop3 -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport pop3 -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport pop3s -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport pop3s -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport ftp -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport ftp -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport ntp -j MARK --set-mark 3
$IPTABLES -t mangle -A POSTROUTING -p tcp --dport ntp -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --destination mumble --dport 53504 -j MARK --set-mark 3		#mumble tcp
$IPTABLES -t mangle -A POSTROUTING -p tcp --destination mumble --dport 53504 -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p udp --destination mumble --dport 53504 -j MARK --set-mark 3		#mumble udp
$IPTABLES -t mangle -A POSTROUTING -p udp --destination mumble --dport 53504 -j RETURN
#prio4: other (default queue)
#prio5: bulk downloads
$IPTABLES -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput -j MARK --set-mark 5			#Maximize-Throughput traffic
$IPTABLES -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput -j RETURN
$IPTABLES -t mangle -A POSTROUTING -p tcp --sport ftp-data -j MARK --set-mark 5					#ftp-data
$IPTABLES -t mangle -A POSTROUTING -p tcp --sport ftp-data -j RETURN
#prio6: p2p
$IPTABLES -A POSTROUTING -t mangle -j CONNMARK --restore-mark
$IPTABLES -A POSTROUTING -t mangle -m mark ! --mark 0 -j ACCEPT
$IPTABLES -A POSTROUTING -t mangle -m ipp2p --ipp2p -j MARK --set-mark 6
$IPTABLES -A POSTROUTING -t mangle -m mark --mark 6 -j CONNMARK --save-mark

#Queues (on INET_IFACE)
# set queue size
$IP link set dev $INET_IFACE qlen 30
# add root HTB qdisc and set the default priority queue
$TC qdisc add dev $INET_IFACE root handle 1: htb default 23
# add main rate limit class
$TC class add dev $INET_IFACE parent 1: classid 1:1 htb rate ${UPRATE}kbit
# add priorization classes
$TC class add dev $INET_IFACE parent 1:1 classid 1:20 htb rate $[$UPRATE/6]kbit ceil ${UPRATE}kbit quantum 1200 prio 0
$TC class add dev $INET_IFACE parent 1:1 classid 1:21 htb rate $[$UPRATE/6]kbit ceil ${UPRATE}kbit quantum 1700 prio 1
$TC class add dev $INET_IFACE parent 1:1 classid 1:22 htb rate $[$UPRATE/6]kbit ceil ${UPRATE}kbit quantum 1200 prio 2
$TC class add dev $INET_IFACE parent 1:1 classid 1:23 htb rate $[$UPRATE/6]kbit ceil ${UPRATE}kbit quantum 1200 prio 3
$TC class add dev $INET_IFACE parent 1:1 classid 1:24 htb rate $[$UPRATE/6]kbit ceil ${UPRATE}kbit quantum 1200 prio 4
$TC class add dev $INET_IFACE parent 1:1 classid 1:25 htb rate $[$UPRATE/6]kbit ceil 200kbit quantum 1100 prio 5
# add SFQ qdisc to each priority class for a fairly connection treatment
$TC qdisc add dev $INET_IFACE parent 1:20 handle 20: sfq perturb 10
$TC qdisc add dev $INET_IFACE parent 1:21 handle 21: sfq perturb 10
$TC qdisc add dev $INET_IFACE parent 1:22 handle 22: sfq perturb 10
$TC qdisc add dev $INET_IFACE parent 1:23 handle 23: sfq perturb 10
$TC qdisc add dev $INET_IFACE parent 1:24 handle 24: sfq perturb 10
$TC qdisc add dev $INET_IFACE parent 1:25 handle 25: sfq perturb 10
# filter traffic into priority classes
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 1 fw flowid 1:20
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 2 fw flowid 1:21
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 3 fw flowid 1:22
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 4 fw flowid 1:23
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 5 fw flowid 1:24
$TC filter add dev $INET_IFACE parent 1:0 prio 0 protocol ip handle 6 fw flowid 1:25

#NAT & Forwarding
#DNAT to redirect all outgoing http traffic to local proxy
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination $PROXY_IP:3128
#DNAT to redirect all outgoing ntp traffic to local ntp server
$IPTABLES -t nat -A PREROUTING -p tcp --dport ntp -j DNAT --to-destination $NTP_IP

#SNAT for inet outgoing traffic from lan clients
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
__________________
Takola Barbara ··· Aker Medico ··· Iraia Aprendiz de Thanus ··· Zakilixut Gigolo de oficio, tirapalillos de aficion ··· Kinki Guardian de las lindas elfas
Campurriano Inmerso en los secretos de la nigromancia ··· Cochinilla Enfermera sexy ··· ??? Trituramandados
Sex clan
takola no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 01:44 AM   #75
ArcticWolf
Duke
 
ArcticWolf's Avatar
 
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
ArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of lightArcticWolf is a glorious beacon of light
Default

Quote:
Originally Posted by gamemod
Amo a mi Debian Etch
Cada día te admiro más ^^

También amo mi Debian Etch. Lástima que mi computadora es demasiado vieja

Quote:
Originally Posted by gamemod
El único dedo que puse en Slackware fue con un WifiSlax
Te lo recomiendo. Wifislax lo tengo para hacer un poco de auditoría con mi wrt54g de linksys. Está bastante bueno para probar el wifi!
Slax es sólo una versión mínima de Slackware, preparada para correr por cd, por lo tanto no la recomiendo como sistema principal. Para eso instálense un Slackware completo para apreciarlo en su totalidad.

@Sunos: Hoy vino un ingeniero en informática del ITBA a darnos una charla y tuvo el mismo problema que vos con el proyector. Se dio cuenta a los dos segundos y cambió a 800x600 para que funcione.

Demás está decir qué ingeniería pienso seguir, no?
__________________
I don't have a solution, but I admire the problem.
ArcticWolf no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 02:02 AM   #76
sunos
Count
 
sunos's Avatar
 
Join Date: Jan 2007
Location: Rosario
Posts: 1,440
sunos has a spectacular aura aboutsunos has a spectacular aura about
Default

Quote:
Originally Posted by Xephandor
Cada día te admiro más ^^

También amo mi Debian Etch. Lástima que mi computadora es demasiado vieja



Te lo recomiendo. Wifislax lo tengo para hacer un poco de auditoría con mi wrt54g de linksys. Está bastante bueno para probar el wifi!
Slax es sólo una versión mínima de Slackware, preparada para correr por cd, por lo tanto no la recomiendo como sistema principal. Para eso instálense un Slackware completo para apreciarlo en su totalidad.

@Sunos: Hoy vino un ingeniero en informática del ITBA a darnos una charla y tuvo el mismo problema que vos con el proyector. Se dio cuenta a los dos segundos y cambió a 800x600 para que funcione.

Demás está decir qué ingeniería pienso seguir, no?
le quedo la presentacion cortada? que feo eso
__________________
Usuario GNU/linux registrado Nº450915
"Sólo hay un problema con el sentido común: que no es demasiado común" -- Milt Bryce
sunos no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 04:08 AM   #77
Mishelin
Count
 
Mishelin's Avatar
 
Join Date: Dec 2006
Location: Argentino hasta el tuétano. =)
Posts: 1,739
Mishelin will become famous soon enoughMishelin will become famous soon enough
Default

Dejen de desvirtuar mi trhead (?) ....miarda (?) carajo (?).........
¿Ese programa synaptics en que parte esta?
__________________
D@nGer
Mishelin no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 04:13 AM   #78
sunos
Count
 
sunos's Avatar
 
Join Date: Jan 2007
Location: Rosario
Posts: 1,440
sunos has a spectacular aura aboutsunos has a spectacular aura about
Default

Quote:
Originally Posted by D@nGer_AVECAESAR
Dejen de desvirtuar mi trhead (?) ....miarda (?) carajo (?).........
¿Ese programa synaptics en que parte esta?
el añadir y quitar que hay en aplicaciones
desde ahi instalas cosas :-)
__________________
Usuario GNU/linux registrado Nº450915
"Sólo hay un problema con el sentido común: que no es demasiado común" -- Milt Bryce
sunos no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 12:25 PM   #79
arlick
Duke
 
arlick's Avatar
 
Join Date: Jan 2007
Posts: 3,939
arlick is a jewel in the rougharlick is a jewel in the rougharlick is a jewel in the rough
Default

Quote:
Originally Posted by takolo
Sigamos desvirtuando...

Me pillas modificando el firewall...
interesante, gracias por el aporte :P

sobre las reglas de QoS me acuerdo que un profesor este año nos dijo que hacer eso en el lado del cliente normalmente no vale de nada porque después el ISP reconfigura las prioridades como mejor le parezca. notas alguan diferencia con eso puesto?
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia
"uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan
arlick no ha iniciado sesión   Reply With Quote
Old 06-06-2008, 12:37 PM   #80
takola
Count
 
Join Date: May 2007
Posts: 1,007
takola will become famous soon enough
Default

Quote:
Originally Posted by arlick
interesante, gracias por el aporte :P

sobre las reglas de QoS me acuerdo que un profesor este año nos dijo que hacer eso en el lado del cliente normalmente no vale de nada porque después el ISP reconfigura las prioridades como mejor le parezca. notas alguan diferencia con eso puesto?
Ahora mismo toi updateando dos equipos por http, tengo 4 torrents abiertos y el juego no sube de 230 de ping :P
__________________
Takola Barbara ··· Aker Medico ··· Iraia Aprendiz de Thanus ··· Zakilixut Gigolo de oficio, tirapalillos de aficion ··· Kinki Guardian de las lindas elfas
Campurriano Inmerso en los secretos de la nigromancia ··· Cochinilla Enfermera sexy ··· ??? Trituramandados
Sex clan
takola no ha iniciado sesión   Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump


All times are GMT. The time now is 02:00 AM.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
NGD Studios 2002-2024 © All rights reserved