|
Ver temas sin respuesta | Ver temas activos
Foros Linux » Administración del sistema » Seguridad
Página 1 de 1
|
[ 9 mensajes ] |
|
| Autor |
Mensaje |
yolinux
Forista Menor
Registrado: Lun Ene 07, 2008 12:00 am Mensajes: 57
|
 Publicado: Mar Abr 15, 2008 7:11 am |
|
Hola gente!
Tengo duda con el Iptables a la hora de configurar las reglas adecuadas para mi Servidor en producción. (NO ESCRITORIO).
Bien pues luego de abrir los puertos tipicos (80, 53, 110, 22, etc..) denegar el ping entre otras funciones, mi pregunta es la siguiente:
¿Cómo puedo confirmar el cierre total de los demás puertos?. Supongo que a través de un Scan, ¿cuál usar?.
Para ir a una solución más rápida a esta consulta. Debo denegar toda entrada y salida al final del script de iptables? o el cierre es por defecto?.
Ejemplo de mi script actual:
-A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
...
...
...
-A INPUT -p icmp -j DROP
¿Debo agregar lo siguiente para cerrar todo lo demás?:
-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP
Espero me puedan aclarar un poquito esto.
Gracias 
|
|
|
|
|
alexav8
Forista Nuevo
Registrado: Vie Mar 10, 2006 12:00 am Mensajes: 31 Ubicación: Buenos Aires
|
Publicado: Mar Abr 15, 2008 10:25 am |
|
|
Hola, esas como son las politicas (-P), las podes poner al ppio......
ejemplo
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
y abajo todas tus reglas
saludos, alexa
|
|
|
|
|
yolinux
Forista Menor
Registrado: Lun Ene 07, 2008 12:00 am Mensajes: 57
|
Publicado: Mar Abr 15, 2008 3:31 pm |
|
Hola alexa
Me sabrias explicar la diferencia entre -A y -P ¿?
Y estas:
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
¿Que hacen exactamente?
Gracias por la info
Última edición por yolinux el Mar Abr 15, 2008 8:23 pm, editado 1 vez en total
|
|
|
|
|
Kde_Tony
Moderador
Registrado: Mar Jul 19, 2005 11:00 pm Mensajes: 3752 Ubicación: /home/Peru/Lima/La Molina
|
Publicado: Mar Abr 15, 2008 6:04 pm |
|
|
muy buena pregunta....
_________________
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
|
|
|
|
|
yolinux
Forista Menor
Registrado: Lun Ene 07, 2008 12:00 am Mensajes: 57
|
Publicado: Jue Abr 17, 2008 6:32 pm |
|
|
Lo que no entiendo es si a final de todo mi script, de todas las reglas, debo incluir el cierre total "DROP" a toda consulta.
Ejemplo al final de todo:
-A INPUT -i eth0 -j DROP
¿?
|
|
|
|
|
dnk
Forista Menor
Registrado: Mié Oct 31, 2007 12:00 am Mensajes: 78 Ubicación: /ARG/bsas/AsdLand
|
Publicado: Lun Abr 21, 2008 6:46 am |
|
|
Me parece que si lo que queres hacer es que se descarten los paquetes de las reglas que pusiste si. Poco y nada se aun, pero espero que te sirva.
Saludos
|
|
|
|
|
carontes
Forista Nuevo
Registrado: Mié Ago 06, 2008 11:00 pm Mensajes: 6
|
Publicado: Mar May 19, 2009 4:13 pm |
|
nat, filter y forward son reglas del iptables.
input y output son conecciones entrantes y de salida respecyivamente, existe forward tambien q no se para q es?
tipos de reglas
NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino
MANGLE, destinadas a modificar los paquetes
DROP es rechazar creo, botar q se yo mi english es pesimo xd
-A — Añade la regla iptables al final de la cadena especificada. Este es el comando utilizado para simplemente añadir una regla cuando el orden de las reglas en la cadena no importa.
-P — Configura la política por defecto para una cadena en particular, de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, serán enviados a un objetivo en particular, como puedan ser ACCEPT o DROP.
para mayor informacion visitar:
http://web.mit.edu/rhel-doc/4/RH-DOCS/r ... tions.html
http://www.pello.info/filez/firewall/iptables.html
|
|
|
|
|
antoniofelixes
Forista Menor
Registrado: Vie May 01, 2009 11:00 pm Mensajes: 80 Ubicación: España
|
Publicado: Mar May 19, 2009 4:27 pm |
|
Buenas,
Para lo que queieres lo ideal sería que utilizaras DROP como política por defecto.
Te voy a poner un ejemplo con DROP, en mi caso es el servidor de mi casa.
Código: #Corta fuegos para el servidor, Antonio Felix.
#LAN=eth0, INTERNET=eth1;
eth0="eth0"
eth1="eth1"
#VARIABLES - DNS
DNS_1="217.11.96.234"
DNS_2="217.11.108.234"
#PATH IPTABLES;
iptables="/usr/sbin/iptables"
fw_start(){
echo "Starting firewall!"
#IPTABLES por defecto:
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT
$iptables -F
$iptables -X
$iptables -Z
$iptables -t nat -F
#Habilitar el reenvio IP
echo 1 > /proc/sys/net/ipv4/ip_forward
#Politias por defecto, DROP:
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
#LOCALHOST
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
#NAT
$iptables -t nat -A POSTROUTING -o $eth1 -j MASQUERADE
#Servidor:
#SSH
$iptables -A INPUT -i $eth0 -s 10.1.1.5 -p tcp --dport 22 -j ACCEPT
$iptables -A OUTPUT -o $eth0 -d 10.1.1.5 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#CUPS
$iptables -A INPUT -i $eth0 -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -d 10.1.1.1 -p tcp --dport 631 -j ACCEPT
$iptables -A OUTPUT -s 10.1.1.1 -o $eth0 -d 10.1.1.5 -p tcp --sport 631 -m state --state RELATED,ESTABLISHED -j ACCEPT
#LAN
#DNS \\10.1.1.4
$iptables -A FORWARD -s $DNS_1 -d 10.1.1.4 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.4 -m mac --mac-source 00:19:D2:2B:a9:65 -d $DNS_1 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
$iptables -A FORWARD -s $DNS_2 -d 10.1.1.4 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.4 -m mac --mac-source 00:19:D2:2B:a9:65 -d $DNS_2 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
#DNS \\10.1.1.5
$iptables -A FORWARD -s $DNS_1 -d 10.1.1.5 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -d $DNS_1 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
$iptables -A FORWARD -s $DNS_2 -d 10.1.1.5 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -d $DNS_2 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
#DNS \\10.1.1.6
$iptables -A FORWARD -s $DNS_1 -d 10.1.1.6 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.6 -m mac --mac-source 00:1A:73:BF:6C:47 -d $DNS_1 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
$iptables -A FORWARD -s $DNS_2 -d 10.1.1.6 -i $eth1 -o $eth0 -p udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.6 -m mac --mac-source 00:1A:73:BF:6C:47 -d $DNS_2 -i $eth0 -o $eth1 -p udp --dport 53 -j ACCEPT
#HTTP \\10.1.1.4
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.4 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.4 -m mac --mac-source 00:19:D2:2B:a9:65 -i $eth0 -o $eth1 -p tcp --dport 80 -j ACCEPT
#HTTP \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -p tcp --dport 80 -j ACCEPT
#HTTP \\10.1.1.6
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.6 -p tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.6 -m mac --mac-source 00:1A:73:BF:6C:47 -i $eth0 -o $eth1 -p tcp --dport 80 -j ACCEPT
#HTTPS \\10.1.1.4
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.4 -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.4 -m mac --mac-source 00:19:D2:2B:a9:65 -i $eth0 -o $eth1 -p tcp --dport 443 -j ACCEPT
#HTTPS \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -p tcp --dport 443 -j ACCEPT
#HTTPS \\10.1.1.6
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.6 -p tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.6 -m mac --mac-source 00:1A:73:BF:6C:47 -i $eth0 -o $eth1 -p tcp --dport 443 -j ACCEPT
#MSN \\10.1.1.4
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.4 -p tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.4 -m mac --mac-source 00:19:D2:2B:a9:65 -i $eth0 -o $eth1 -p tcp --dport 1863 -j ACCEPT
#MSN \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -p tcp --dport 1863 -j ACCEPT
#MSN \\10.1.1.6
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.6 -p tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.6 -m mac --mac-source 00:1A:73:BF:6C:47 -i $eth0 -o $eth1 -p tcp --dport 1863 -j ACCEPT
#SMTP \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -p tcp --dport 25 -j ACCEPT
#POP3 \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p tcp --sport 110 -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -p tcp --dport 110 -j ACCEPT
#ICMP \\10.1.1.5
$iptables -A FORWARD -i $eth1 -o $eth0 -d 10.1.1.5 -p icmp -m state --state ESTABLISHED -j ACCEPT
$iptables -A FORWARD -s 10.1.1.5 -m mac --mac-source 00:22:15:85:de:fb -i $eth0 -o $eth1 -j ACCEPT
}
fw_stop(){
echo "Stopping firewall!"
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT
$iptables -F
$iptables -Z
$iptables -X
}
fw_status(){
$iptables -nL
}
case "$1" in
'start')
fw_start
;;
'stop')
fw_stop
;;
'restart')
fw_stop
fw_start
;;
'status')
fw_status
;;
*)
echo "Usage: $0 start|stop|restart|status"
esac
La página de iptables, http://www.netfilter.org/projects/iptables/index.html.
Y por último un libro que podrías comprarte, Linux iptables Pocket Reference.
Un saludo, Antonio Félix.
|
|
|
|
|
fredy_ruiz
Forista Medio
Registrado: Vie Abr 13, 2007 11:00 pm Mensajes: 165
|
Publicado: Sab Jul 25, 2009 12:25 pm |
|
|
Haber solo para reforzar
Cuando pones las politicas por defecto, por ejemplo
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Son eso, politicas por defecto, es decir, cuando los paquetes lleguen al firewall sin cumplir ninguna regla, serán evualuadas por las politicas por defecto, recien ahi ..... osea no interesa el orden en que lo pongas
|
|
|
|
|
|
|
|
Página 1 de 1
|
[ 9 mensajes ] |
|
¿Quién está conectado?
Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados
No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro
|
|
