El iptables perfecto

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Avatar de Usuario
corrius
Forista Mayor
Forista Mayor
Mensajes: 731
Registrado: Jue Jun 23, 2005 7:00 am
Ubicación: España
Contactar:

El iptables perfecto

Mensaje por corrius » Jue Jun 01, 2006 9:12 pm

Pues aquí me gustaria que todos aportasen su granito de arena bien fuese posteando su iptables o comentando fallos de los demás para asi poder buscar el firewall perfecto o casi nunca nada es perfecto.
Mi firewall es de mi pc que no es server ni nada por el estilo, simplemente herramienta de escritorio.

#!/bin/sh
## Creado por CorriuS tras consultar los manuales de www.pello.info y www.ubuntu-es.org

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Deshabilitar broadcast
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Deshabilitar el ping… quizá discutible.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Deshabilitar la redirección del ping
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Registrar los accesos extraños, paquetes falseados, etc..
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Anti-flooding o inundación de tramas SYN.
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

# Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
# servidores y otras maldades (bug en Apache por ejemplo)
iptables -A INPUT -i $IFACE -f -j LOG --log-prefix "Fragmento! "
iptables -A INPUT -i $IFACE -f -j DROP

# Anti-spoofing (falseo de ip origen)
iptables -A INPUT -i $IFACE -s $IPADDR -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_A -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_B -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_C -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_D_MULTICAST -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_E_RESERVED_NET -j DROP
iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP
iptables -A INPUT -i $IFACE -d $BROADCAST -j DROP

# Proxy Transparent: peticiones al puerto 80 redirigir al SQUID(3128)
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 80 -j REDIRECT --to 3128


## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta #TODO denegado.
## Debemos decir de manera explicita qué es lo que queremos abrir

# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT


# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas
/sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Permitimos la consulta a un primer DNS
/sbin/iptables -A INPUT -s 192.168.0.1 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 192.168.0.1 -p udp -m udp --dport 53 -j ACCEPT

#Abrimos los puertos del emule
/sbin/iptables -A INPUT -p tcp -m tcp --dport 4662 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 4662 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -m tcp --dport 4672 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 4672 -j ACCEPT

#Ahora para el amsn
/sbin/iptables -A INPUT -p tcp -m tcp --dport 6891:6895 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 6891:6895 -j ACCEPT


# Barrera de backup por si cambiamos a modo ACCEPT temporalmente
# Con esto protegemos los puertos reservados y otros well-known
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1723 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 5432 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

Aquí esta el mio a ver si alguien mas se anima y pone el suyo o critica el mio xD

Saludos
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url]
Avatar de Usuario
Destructor
Forista Legendario
Forista Legendario
Mensajes: 1672
Registrado: Lun Jul 05, 2004 7:00 am
Ubicación: México, Distrito Federal

Mensaje por Destructor » Vie Jun 02, 2006 1:48 am

Hola corrius al no ser en realidad un debate, ya que no estás colocando una postura y defendiéndola, moví el tema al foro del café.

Saludos
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url] | [url=http://www.mandriveros.com]Mi blog[/url] | Debian Tes
Avatar de Usuario
Ayax
Administrador
Administrador
Mensajes: 3392
Registrado: Jue Ene 01, 1970 2:00 am
Ubicación: León, Guanajuato; México.
Contactar:

Mensaje por Ayax » Sab Jun 03, 2006 7:09 pm

Hola:

Algo mejor, lo movemos al foro Seguridad y lo ponemos como postit. Creo que es un buen lugar para que los usuarios expongan también sus casos.

Saludos.
No hay nada que agradecer. Hago, lo tengo que hacer.
Reglamento del foro | Temas más preguntados | Twitter: @pacorevilla
Avatar de Usuario
corrius
Forista Mayor
Forista Mayor
Mensajes: 731
Registrado: Jue Jun 23, 2005 7:00 am
Ubicación: España
Contactar:

Re: El iptables perfecto

Mensaje por corrius » Jue Jun 08, 2006 5:50 pm

A ver si hay alguien que se anime a colaborar, podria ser un buen ejemplo para los novatos, tener varios iptables que comparar
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url]
Avatar de Usuario
DrP
Forista Distinguido
Forista Distinguido
Mensajes: 1039
Registrado: Jue Jul 21, 2005 7:00 am
Ubicación: /usr/local/cba

Re: El iptables perfecto

Mensaje por DrP » Mié Jun 14, 2006 9:07 pm

Como no soy admin de ninguna red en realidad nunca le presté demasiada atención a iptables. Siempre me apasionó, pero me daba vagueza la idea de ponerme a crear y pulir reglas.
Desde hace mucho tiempo uso firestarter por default y al menos no tengo problemas.
Kali Linux
Avatar de Usuario
corrius
Forista Mayor
Forista Mayor
Mensajes: 731
Registrado: Jue Jun 23, 2005 7:00 am
Ubicación: España
Contactar:

Re: El iptables perfecto

Mensaje por corrius » Jue Jun 15, 2006 9:39 pm

Una pregunta DrP^firestarter te deja agregar reglas en ubuntu? porque a mi no me viene desabilitado ese boton por eso me vi obligado a crear el mio propio.

Saludos
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url]
Avatar de Usuario
DrP
Forista Distinguido
Forista Distinguido
Mensajes: 1039
Registrado: Jue Jul 21, 2005 7:00 am
Ubicación: /usr/local/cba

Re: El iptables perfecto

Mensaje por DrP » Jue Jun 15, 2006 11:11 pm

No sé, lo uso por default por las razones que te di antes.
Pero te deja crear reglas básicas para los programas desde el mismo firestarter, obviamente que no debe ser lo mismo, pero algo es algo.
Kali Linux
Avatar de Usuario
Destructor
Forista Legendario
Forista Legendario
Mensajes: 1672
Registrado: Lun Jul 05, 2004 7:00 am
Ubicación: México, Distrito Federal

Mensaje por Destructor » Vie Jun 16, 2006 5:37 pm

Pues yo tengo lo mismo que comenta DrP, entiendo que de esta forma tienes restringido cualquier acceso, y de ahí poco a poco vas permitiendo aplicaciones o abriendo puertos, pero hasta el momento no he necesitado nada de eso.
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url] | [url=http://www.mandriveros.com]Mi blog[/url] | Debian Tes
Avatar de Usuario
corrius
Forista Mayor
Forista Mayor
Mensajes: 731
Registrado: Jue Jun 23, 2005 7:00 am
Ubicación: España
Contactar:

Re: El iptables perfecto

Mensaje por corrius » Dom Jun 18, 2006 12:52 am

DrP escribió:No sé, lo uso por default por las razones que te di antes.
Pero te deja crear reglas básicas para los programas desde el mismo firestarter, obviamente que no debe ser lo mismo, pero algo es algo.
Yo tambien tengo instalado firestarter ya que es comodo para cuando necesito detener iptables por algun motivo pero el caso es que cuando voy a crear una regla pincho en normativa en firestarter y todas las opciones de esa ventana desplegable me salen en gris, y me es imposible seleccionarlas, ya he probado a reinstalar firestarter mediante los repositorios pero nada.
Alguien sabria donde puede estar el problema?
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
[url=http://www.espaciolinux.com/postt775.html]Reglamento del foro[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url]
cristiani
Forista Medio
Forista Medio
Mensajes: 223
Registrado: Sab Jul 08, 2006 7:00 am
Ubicación: Villahermosa,Tab. México

Re: El iptables perfecto

Mensaje por cristiani » Vie Ago 18, 2006 8:33 pm

ummm yo estoy recien comenzando con ubuntu en linux, y no tengo activado ningun firewalls, lo trae por defecto activado ubuntu dapper.

tengo activado el firewall del gateway 1070 que me proporciono telmex; es recomendable que use alguno.

gracias y disculpen por colgrame de este hilo.
Caer,tropezar y equivocarse está permitido... pero, levantarse y seguir adelante es obligatorio ^^
Avatar de Usuario
meleagro
Miembro ETEL
Miembro ETEL
Mensajes: 1161
Registrado: Mar Jun 07, 2005 7:00 am
Ubicación: En tus pesadillas
Contactar:

Re: El iptables perfecto

Mensaje por meleagro » Sab Ago 19, 2006 7:55 am

Me parece un muy buen script, por los "echo" se ve que has usado el manual de Pello ( buenísimo, una referencia en Iptables en castellano ).
Tengo que probarlo pero creo que en mi caso debería permitir conexiones al FTP, que según este script solo permite cuando la conexión está previamente establecida.

Ya comentaré como me queda el mio.
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net
Avatar de Usuario
h0m3rtr1x
Forista Nuevo
Forista Nuevo
Mensajes: 40
Registrado: Mié Dic 29, 2004 8:00 am
Ubicación: Neuquen
Contactar:

Re: El iptables perfecto

Mensaje por h0m3rtr1x » Sab Ago 19, 2006 8:53 am

yo tengo una pregunta cuando decis que abris los puertos, ¿los abris o los pones en escucha?, porque no era que si lo dejabas abierta ahi era cuando te entraban?

chau

PD: disculpen mi ignorancia
PC's
1: Intel Core 2 Quad Q6660 @ 2,4 Ghz, 4gb Ram, NVidia Geforce 8600 GT, SB X-Fi Fatal1ty 64 X-Ram. Monitor: ViewSonic 22'' Wide (16:10) SO: win xp y mandriva 2008.1
2: p4 2,6 ghz; monitor 17'; 1024 ram; geforce FX 5200 @ 5500 128mb 205@275 405@475.
Avatar de Usuario
meleagro
Miembro ETEL
Miembro ETEL
Mensajes: 1161
Registrado: Mar Jun 07, 2005 7:00 am
Ubicación: En tus pesadillas
Contactar:

Re: El iptables perfecto

Mensaje por meleagro » Sab Ago 19, 2006 1:35 pm

h0m3rtr1x escribió:yo tengo una pregunta cuando decis que abris los puertos, ¿los abris o los pones en escucha?
Yo creo que es un poco cada uno como utiliza el lenguaje.
Yo suelo utilizar abierto cuando ese puerto sale "open" utilizando algún scaner puertos como nmap. y en escucha cuando hay algún programa escuchando por ese puerto, el caso de tener un servidor http en el puerto 80 por ejemplo.
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net
Avatar de Usuario
francog
Forista Distinguido
Forista Distinguido
Mensajes: 1177
Registrado: Mar Abr 26, 2005 7:00 am
Ubicación: Mexico D.F.

Mensaje por francog » Dom Ago 20, 2006 3:34 am

corrius...

Seria bueno agregar la parte del NAT, asi como la redireccion de los puertos, para una DMZ
Todos somos muy ignorantes... Lo que ocurre es que no todos ignoramos las mismas cosas
Albert E.
[url=http://www.espaciolinux.com/postt781.html]Reglamento de los foros[/url] | [url=http://www.espaciolinux.com/foro20.html]Temas más preguntados[/url]
Avatar de Usuario
paguezm
Forista Nuevo
Forista Nuevo
Mensajes: 3
Registrado: Mar Ago 08, 2006 7:00 am

Re: El iptables perfecto

Mensaje por paguezm » Lun Ago 21, 2006 12:27 am

Hola!!
Alguien me puede ayudar por favor a guardar unas reglas iptables para q esten cuando reinicio la maquina
las reglas son:
iptables -P OUTPUT DROP
iptables -A OUTPUT -d 209.73.186.238 -j ACCEPT
estas si me sirven perfectamente para lo que las quiero pero no se como guardarlas
intente con
/sbin/service iptables save
pero no funciona
GRACIAS
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje