Mensajes

El serial ingresado debe tener 16 caracteres
Este serial se dividirá en dos partes:
cvd = último número del serial y es como un número de verificación
cod = es el serial que se analizará en el codigo

Aquí se recorre cod número por número
si el número es par, se lo adiciona en la variable chk,
si es impar, se lo multiplica por dos, si el resultado es mayor o igual a 10,
se suman los dos primeros dígitos del resultado y se lo adiciona en la variable chk.

Cuando digo adiciona, no quiero decir que se lo suma, si no que se lo concatena.

Código [Seleccionar] Expandir



for (i=0;i<cod.length;i++){
   if (i%2 == 0){
   tmp = cod.substring(i,i+1) * 1;

   }
   else{
   tmp = cod.substring(i,i+1) * 2;
   }

  if (tmp >= 10){
  tmp = tmp.toString();
  tmp = tmp.substr(0,1) + tmp.substr(1,1);
  }

chk = chk.concat(tmp);
}


Aquí se suman número por número cada uno de los dígitos de la variable chk previamente obtenida y se guarda el resultado en tmp

Código [Seleccionar] Expandir


tmp = '';

for (i=0;i<chk.length;i++){
tmp = (tmp*1) + (chk.charAt(i)*1);
}



Aquí viene lo interesante:

Se suman los dos primeros caracteres de tmp y lo guardamos en chk,
luego lo multiplicamos x 10
y restamos chk menos tmp.
Luego obtenemos cvs del módulo de chk por 10.

Código [Seleccionar] Expandir


tmp = tmp.toString();
chk = (tmp.substr(0,1)*1) + (tmp.substr(1,1)*1);
chk = chk * 10;
chk = (chk*1) - (tmp*1);
cvs = chk % 10;


Si cvs y chk son iguales, wala!

claramente no.
El link es solo para poner algo, la idea es que te hagas de acceso del profesor/es.

Si yo tendría que hacer tu script lo haría así:

Código [Seleccionar] Expandir


iptables -F
        iptables -X
        iptables -Z
        iptables -t nat -F

        # politicas por defecto
        iptables -P INPUT DROP               
        iptables -P OUTPUT ACCEPT             
        iptables -P FORWARD DROP             
        iptables -t nat -P PREROUTING DROP   
        iptables -t nat -P POSTROUTING DROP   
        echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de reenvios

        iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo

        iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT                         # ftp y ssh
        iptables -A INPUT -p tcp --dport 80 -j ACCEPT                            # http
        iptables -A INPUT -p tcp --dport 443 -j ACCEPT                           # https
        iptables -A INPUT -p tcp --dport 53 -j ACCEPT                            # dns - dhcp
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT                           # portmapper/rpcbind
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT                       # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT                           # samba
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT                          # squid
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT                          # squid cache
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT                          # nfs
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT                          # asterisk
        iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT                          # webmind para LAN

       # forwarding
       # Podría ser mas restrictivo, pero de principio con esto va a andar mejor
        iptables -A FORWARD -s 10.0.1.0/24 -d 0.0.0.0/0 -j ACCEPT
     

       #NAT
       iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.1.1:3128 # Aca tenias la ip del router en lugar de la del squid!!!
       iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -d 0.0.0.0/0 -j MASQUERADE     # todo lo que salga de la red, se enmascara
     
       
Post data: no lo probé, pero haceme el favor, debría salir andando!

Proba agregando:

Código [Seleccionar] Expandir

anon_world_readable_only=YES


Mis comentarios:

Código [Seleccionar] Expandir

iptables -F
       iptables -X
       iptables -Z
       iptables -t nat -F

       # politicas por defecto
       iptables -P INPUT ACCEPT                # aceptamos entradas
       iptables -P OUTPUT ACCEPT               # aceptamos salidas
       iptables -P FORWARD ACCEPT              # aceptamos reenvios
       iptables -t nat -P PREROUTING ACCEPT    # aceptamos nat hacia fuera
       iptables -t nat -P POSTROUTING ACCEPT   # aceptamos nat hacia dentro
       echo 1 > /proc/sys/net/ipv4/ip_forward  # habilitamos BIT de reenvios

       iptables -A INPUT -i lo -j ACCEPT # localhost aceptar todo
       iptables -A INPUT -p tcp --dport 20:22 -j ACCEPT                         # ftp y ssh
       iptables -A INPUT -p tcp --dport 80 -j ACCEPT                            # http
       iptables -A INPUT -p tcp --dport 443 -j ACCEPT                           # https
       iptables -A INPUT -p tcp --dport 53 -j ACCEPT                            # dns - dhcp
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT                           # portmapper/rpcbind
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT                       # samba
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT                           # samba
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT                          # squid
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT                          # squid cache
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT                          # nfs
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT                          # asterisk
       iptables -A INPUT -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT                          # webmind para LAN

      # forwardnig
       iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT                       # ftp y ssh
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 53 -j ACCEPT                          # dns - dhcp
       iptables -A FORWARD -s 10.0.1.0/24 -p udp --dport 53 -j ACCEPT                          # dns -dhcp (udp)
       iptables -A FORWARD -p tcp --dport 80 -j ACCEPT                          # http
       iptables -A FORWARD -p tcp --dport 443 -j ACCEPT                         # https
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 111 -j ACCEPT                         # portmapper/rpcbind
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 137:139 -j ACCEPT                     # samba
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 445 -j ACCEPT                         # samba
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3128 -j ACCEPT                        # squid
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 3130 -j ACCEPT                        # squid cache
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 2049 -j ACCEPT                        # nfs
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 5038 -j ACCEPT                        # asterisk
       iptables -A FORWARD -s 10.0.1.0/24 -p tcp --dport 1000 -j ACCEPT                        # webmind para LAN

Hasta aquí sin dudas.

Si tu red esta en la 10.0.1.0/24, y has configurado a todas las PCs como puerta de enlace la ip de tu server (192.168.1.1),
deberias borrar las siguientes lineas:

Código [Seleccionar] Expandir


         iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.1.0/24 -j ACCEPT
         iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.1.0/24 -j ACCEPT

        # enmascaramiento

y agregar la siguiente:

Código [Seleccionar] Expandir


        iptables -A FORWARD -s 10.0.1.0/24 -d 0.0.0.0/0 -j ACCEPT

Ya que los paquetes irán con IP de destino públicas, no las de tu router.

La siguiente linea esta demás, ya que el policy de OUTPUT es ACCEPT

Código [Seleccionar] Expandir


        iptables -A OUTPUT -j ACCEPT


Por otro lado esta última parte quedaría mejor así:

Código [Seleccionar] Expandir



       iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
       iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE     # todo lo que salga de la red, se enmascara


Otas aclaraciones:
- El puerto del webmin es 10000 no 1000, debe ser un error de tipeo seguro
- Conviene que establezcas la policy de FORWARD en DROP y no que utilices una regla al final de todo.
- Si alguien quiere acceder al webmin de algún otro servidor no va a poder por que denegas el forward del puerto 10000 (suponiendo que
es un error de tipeo) y no es necesario hacerlo.

Por lo que la siguiente parte yo la dejaría así

Código [Seleccionar] Expandir


      # denegaciones
       iptables -A INPUT -p tcp --dport 10000 -j DROP                           # denegar webmind
       iptables -A INPUT -p tcp --dport 1:1024 -j DROP                         # cerrar puertos privados

y cambiaria arriba de todo esta policy

Código [Seleccionar] Expandir


 iptables -P FORWARD DROP              # denegamos reenvios



Espero que me entiendas, y espero que pruebes mis recomendaciones y me digas los resultados.
Por otro lado, si a tu respuesta le agregas la salida de lo siguiente sería fantástico:

Código [Seleccionar] Expandir


iptables -L -n -v
iptables -L -n -v -t nat


Saludos

Estoy analizando el problema, y aún no termino,
pero fijate que esta regla nunca se va a cumplir:
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE 
Ya que la regla anterior  (la del Source Nat - SNAT) le gana por precedencia.
Sigo analizando, pero mientras fijate ese tema.

post date: Para analizar donde estan pasando tus paquetes, utiliza:
iptables -L -n -v
Esto te muestra la cantidad paquetes y bytes que cada regla procesa, de esa manera podes ir detectando errores.

10 puntitos!

Un robots.txt:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Allow: /wp-content/uploads/
Disallow: /search
Disallow: /?s=
Disallow: /feed
Disallow: /comments/feed
Allow: /feed/$
Disallow: /*/feed/$
Disallow: /*/feed/rss/$
Disallow: /*/trackback/$
Disallow: /*/*/feed/$
Disallow: /*/*/feed/rss/$
Disallow: /*/*/trackback/$
Disallow: /*/*/*/feed/$
Disallow: /*/*/*/feed/rss/$
Disallow: /*/*/*/trackback/

Mercita, te respondi en el otro thread, podemos seguirlo por ahi.
En el mientras tanto, voy a ver de volver a publicar los artículos que ese encontraban en el blog.

Hola por favor en una ocasion encontre estos magnificos ariculos tuyos en http://www.netsecure.com.ar/2008/12/02/netfilter-iptables-ii/ , eran cinco buscando como bloquear traceroute desde afuera en mi red y ahora veo que los mismos no existen por favor en realidad sigo enganchada con el traceroute pero para mi cisco viejo, un modelo 805 que es lo que tengo con un enlace pobre a 128mkbs y no encuentro tus articulos que imprimi una vez pero que hacian referncia a otros links, por favor puedes ayudarme con eso? Al menos proporcionarme un link para aquellos articulos borrados de netsecure.com.ar y si pudieras ayudarme un poco en cuanto a que trafico icmp debo bloquear en mi cisco con una interfase serial para mi isp y una ethernet para mi rango de direcciones externas. Veo muchos artículos pero todos se contradicen en cual tipo de tráfico icmp debo bloquear y no me siento segura en como hacerlo.
Ademas me exigen bloquear en mi cisco la ip de mi red y la de brodcast pero todo lo que he visto e spara hacerlo con direcciones que no admitan subnetting y yo tengo una direccion con /29s no estoy tampoco clara en eso. Me vendria bien alguna recomendacion especifica sobre esos temas.
Gracias, si me respondieras seria una bendicion!!!

Hola Mercita,
Disculpame, los artículos no estan momentaneamente disponibles, la nueva dirección de mi blog es blog.netsecure.com.ar.
Sin embargo, no tengo drama de ayudarte.
Vamos por parte, te interesa bloquear el traceroute.
Queres impedir que no hagan traceroute desde tu red o hacia tu red?
Comentame un poco como esta compuesta tu red, para que podamos analizarlo con mas detalle.

Saludos

Gracias a todos por su respuesta! hace mucho que no pasaba por el foro, me han incentivado nuevamente!