[Lugro-mesh] Iptables

Gustavo Lindberg gus.lindberg en gmail.com
Mie Ene 30 23:50:24 ARDT 2008 

Seba, podrías hacer una prueba ?

Estuve viendo que las reglas de iptables son completamente generadas por el
NoDogSplash. Este crea las cadenas que empiezan con ndsXXX ( la verdad me
llevo un buen rato descubrir que cazzo era nds :P ). Si se detiene el NDS,
las reglas que quedan son muy básicas:

root en robin:~# iptables -L -v
Chain INPUT (policy ACCEPT 131K packets, 7230K bytes)
 pkts bytes target     prot opt in     out     source
destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source
destination
    0     0 DROP       all  --  ath2   eth0    anywhere
!192.168.1.254
    0     0 DROP       all  --  ath1   eth0    anywhere
!192.168.1.254

Chain OUTPUT (policy ACCEPT 133K packets, 7651K bytes)
 pkts bytes target     prot opt in     out     source
destination


La prueba consistiría en detener el NDS y asociarse a ath1. Detener también
el cron para que no vuelva a arrancar....
Si mi teoría es cierta, en ese caso vos no podrías salir a internet, igual
que cuando te asocias a ath2, porque en la cadena FORWARD esta la misma
regla para ambas interfaces. Si mal no recuerdo asociado a ath2 no se sale a
inet ni contestan los ping a la red interna.

Si la prueba resulta como pienso, el problema estaría en dos puntos:
Primero, la regla de FORWARD debería ser un ACCEPT de todo excepto
192.168.0.0/24 sobre ath2. Segundo, la misma regla para ath1 debería
manejarla NDS en sus reglas de filtrado.

Segun leo:


   - To change basic nodogsplash settings, edit the configuration file:

   /etc/nodogsplash/nodogsplash.conf

   In the configuration file, a FirewallRule has the form:

   FirewallRule *permission* [*protocol* [port *portrange*]] [to *ip*]

   where
      - *permission* is required and must be either allow or block.
      - *protocol* is optional. If present must be tcp, udp, icmp, or
      all. Defaults to all.
      - port *portrange* is optional. If present, *protocol* must be
      tcp or udp. *portrange* can be a single integer port number, or
      a colon-separated port range, e.g. 1024:1028. Defaults to all
      ports.
      - to *ip* is optional. If present, *ip* must be a decimal
      dotted-quad IP address with optional mask. Defaults to 0.0.0.0/0,
      i.e. all addresses.



Si nada de esto funcionas, bue.... seguiremos estudiando. :P

Salu2 / GUS
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://www.lugro.org.ar/pipermail/lugro-mesh/attachments/20080130/fdc575a4/attachment.htm

Más información sobre la lista de distribución Lugro-mesh