Despues del gran caos (véase anterior mail) he optado por encontrar una solucion lo mas estable posible. Nota: Esto es un consejo. Para nada es la solucion mas optima para cada caso. En caso de tener 2 pc's: Una con linux + conexion internet y la otra con ruindows. Requisitos: Hardware: 1.Dos tarjetas de red en la maquina linux y otra en la maquina windows. 2.Un cable cruzado y tener la cabeza con los cables cruzados para hacer esto. Software: 1. Iptables (para hacer forwaring) y ya está Bricolage: 1. En eth0 conectar el modem 2. En eth1 conectar el cable de red cruzado a la otra tarjeta de red de la maquina con windows. 3. Irte a una consola para ejecutar el iptables (modo root) ## Variables IPTABLES=iptables EXTIF="eth0" INTIF="eth1" ## Primeras reglas /sbin/iptables -P INPUT DROP /sbin/iptables -F INPUT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -F OUTPUT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -F FORWARD /sbin/iptables -t nat -F ### En principio, si las reglas INPUT por defecto hacen DROP, no haria falta ### meter mas reglas, pero si temporalmente se pasa a ACCEPT no esta de mas. ## El localhost se deja /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT #HTTP APACHE permitido fuera y dentro /sbin/iptables -A INPUT -i $INTIF -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -i $EXTIF -p tcp --dport 80 -j ACCEPT #FTP permitido fuera y dentro /sbin/iptables -A INPUT -i $INTIF -p tcp --dport 21 -j ACCEPT /sbin/iptables -A INPUT -i $INTIF -p tcp --dport 20 -j ACCEPT /sbin/iptables -A INPUT -i $EXTIF -p tcp --dport 21 -j ACCEPT /sbin/iptables -A INPUT -i $EXTIF -p tcp --dport 20 -j ACCEPT #FTP pasivo: /sbin/iptables -A OUTPUT -p tcp --sport 1024: --dport ftp -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 1024: --dport ftp-data -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #SSH permitido fuera y dentro /sbin/iptables -A INPUT -i $INTIF -p tcp --dport 22 -j ACCEPT /sbin/iptables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT #Mandar archivos MSN usando NAT #(cada IP le he reservado algunos puertos... hay k cambiar en cada cliente sus puertos.) /sbin/iptables -t nat -I PREROUTING -p tcp --dport 6891:6900 -i $EXTIF -j DNAT --to 192.168.1.3 /sbin/iptables -t nat -I PREROUTING -p tcp --dport 6901:6910 -i $EXTIF -j DNAT --to 192.168.1.2 /sbin/iptables -t nat -I PREROUTING -p tcp --dport 6911:6920 -i $EXTIF -j DNAT --to 192.168.1.5 #SECCION PARANOICA #RECOMENDADO PARA DAR UNA MAYOR SEGURIDAD A LA MINI LAN. # Deshabilitar broadcast echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Deshabilitar el ping... /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all # Deshabilitar la redireccin del ping /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # Anti-flooding o inundacin de tramas SYN. [aki hay un error. Mensaje chains noseke] iptables -N syn-flood iptables -A INPUT -i $EXTIF -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP # Anti-spoofing (falseo de ip origen) iptables -A INPUT -i $IFACE -s $IPADDR -j DROP iptables -A INPUT -i $IFACE -s $CLASS_A -j DROP iptables -A INPUT -i $IFACE -s $CLASS_B -j DROP iptables -A INPUT -i $IFACE -s $CLASS_C -j DROP iptables -A INPUT -i $IFACE -s $CLASS_D_MULTICAST -j DROP iptables -A INPUT -i $IFACE -s $CLASS_E_RESERVED_NET -j DROP iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP iptables -A INPUT -i $IFACE -d $BROADCAST -j DROP ## FORWARD # Que me haga log de todo el forward #/sbin/iptables -A FORWARD -j LOG # He aqui el forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth1 -j ACCEPT # Habilitar el forwarding echo 1 > /proc/sys/net/ipv4/ip_forward FIN NOTA: Es mas comodo si todas estas reglas ( o solo las que interesen) se hagan en un solo script poniendo las reglas que interesen y luego ejecutar el script. Como veis, de algo bueno he tenido que sacar mi mala experiencia, ya que para mi lo mas importante es la seguridad e integridad de un sistema. Salu2 y que aproveche. Por cierto: ¿Habeis probado ya mi script enciclopedia? Tengo ganas de saber vuestros comentarios.