![](https://seccdn.libravatar.org/avatar/8a43036783263aa701f623d44d4a51ef.jpg?s=120&d=mm&r=g)
Hola estoy configurando un firewall usando iptables, y deseo dar acceso solo a hhtp, ftp, pop3 y smtp. Mi duda es: Los puerto que no son usados por el sistema son mayores a 1024 cierto?? y estos son usados por los sockets hijos cuando se establece una conexion???. por ejemplo: un servidor web tiene un socket padre de escucha que usa el puerto 80, ahi llegan todas las peticiones de conexion provenientes de un liente, cuando se acepta una se crea un nuevo socket (hijo) con un puerto mayor a 1024 para la comunicacion con el cliente. Aca viene mi poblema... si restrinjo todos los puerto a excepcion de http, ftp, pop3 y smtp habra algun problema con el sistema?? y como hago para restingir todos los puertos menores a 1024, de ser prosibl en una sola linea. Finalmente, el acceso smtp es solo para mi red interna (eth0), es posible brindar el servicio solo por esta interface y no por eth1 (internet)??. Gracias por su ayuda. Victor Reyes
![](https://seccdn.libravatar.org/avatar/7f027fa871f513194ace8770200e171a.jpg?s=120&d=mm&r=g)
Mira,... el iptables tiene un modulo que se llama MASQUERADE, lo que hace este modulo es enmascarar las peticiones de toda tu LAN hacia internet en UNA SOLA IP, que seria la de tu firewall,... tu puedes con esta regla dar acceso solo a WEB : iptables -A POSTROUTING -o <interface internet> -p tcp --dport 80 -j MASQUERADE tu duda sobre los puertos arriba de los 1024 el modulo MASQUERADE se encargara de solucionarlo, usted solo tiene que colocar esa regla y claro lo primero tambien es habilitar el canal FORWARD entre tus dos NIC: echo 1 > /proc/sys/net/ipv4/ip_forward Ahora si quieres dar acceso a mas servicios como ftp, smtp, pop3 solo pondrias en lugar de 80 21 y otra regla con 25 y otra con 110.
Finalmente, el acceso smtp es solo para mi red interna (eth0), es posible brindar el servicio solo por >esta interface y no por eth1 (internet)??.
seguramente lo que deseas es que tu LAN solo pueda ver lo que recibe tu
servidor de correos y mandar correos solo a tu servidor de correos, entonces
para que tu servidor reciba los correos de AFUERA tienes que NATEARLO, de la
siguiente manera:
iptables -A PREROUTING -i <interface internet> -p tcp -d
participants (2)
-
Carlos Carrera
-
Victor Reyes