Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 

Ver temas sin respuesta | Ver temas activos



Foros Linux » Administración del sistema » Seguridad


Nuevo tema Responder al tema
 Página 1 de 3
  [ 32 mensajes ]  Ir a página 1, 2, 3  Siguiente
Patrocinadores

Autor
Buscar:
Mensaje
corrius

Desconectado
Forista Mayor
Forista Mayor
Avatar de Usuario

Registrado: Mié Jun 22, 2005 11:00 pm
Mensajes: 731
Ubicación: España

Nota Publicado: Jue Jun 01, 2006 1:12 pm 
Arriba  
Pues aquí me gustaria que todos aportasen su granito de arena bien fuese posteando su iptables o comentando fallos de los demás para asi poder buscar el firewall perfecto o casi nunca nada es perfecto.
Mi firewall es de mi pc que no es server ni nada por el estilo, simplemente herramienta de escritorio.

#!/bin/sh
## Creado por CorriuS tras consultar los manuales de www.pello.info y www.ubuntu-es.org

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Deshabilitar broadcast
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Deshabilitar el ping… quizá discutible.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Deshabilitar la redirección del ping
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Registrar los accesos extraños, paquetes falseados, etc..
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Anti-flooding o inundación de tramas SYN.
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

# Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
# servidores y otras maldades (bug en Apache por ejemplo)
iptables -A INPUT -i $IFACE -f -j LOG --log-prefix "Fragmento! "
iptables -A INPUT -i $IFACE -f -j DROP

# Anti-spoofing (falseo de ip origen)
iptables -A INPUT -i $IFACE -s $IPADDR -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_A -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_B -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_C -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_D_MULTICAST -j DROP
iptables -A INPUT -i $IFACE -s $CLASS_E_RESERVED_NET -j DROP
iptables -A INPUT -i $IFACE -d $LOOPBACK -j DROP
iptables -A INPUT -i $IFACE -d $BROADCAST -j DROP

# Proxy Transparent: peticiones al puerto 80 redirigir al SQUID(3128)
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 80 -j REDIRECT --to 3128


## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta #TODO denegado.
## Debemos decir de manera explicita qué es lo que queremos abrir

# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT


# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas
/sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Permitimos la consulta a un primer DNS
/sbin/iptables -A INPUT -s 192.168.0.1 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 192.168.0.1 -p udp -m udp --dport 53 -j ACCEPT

#Abrimos los puertos del emule
/sbin/iptables -A INPUT -p tcp -m tcp --dport 4662 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 4662 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -m tcp --dport 4672 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 4672 -j ACCEPT

#Ahora para el amsn
/sbin/iptables -A INPUT -p tcp -m tcp --dport 6891:6895 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 6891:6895 -j ACCEPT


# Barrera de backup por si cambiamos a modo ACCEPT temporalmente
# Con esto protegemos los puertos reservados y otros well-known
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1723 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 5432 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

Aquí esta el mio a ver si alguien mas se anima y pone el suyo o critica el mio xD

Saludos

_________________
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
Reglamento del foro | Temas más preguntados
 Perfil WWW  
Destructor

Desconectado
Forista Legendario
Forista Legendario
Avatar de Usuario

Registrado: Dom Jul 04, 2004 11:00 pm
Mensajes: 1672
Ubicación: México, Distrito Federal

Nota Publicado: Jue Jun 01, 2006 5:48 pm 
Arriba  
Hola corrius al no ser en realidad un debate, ya que no estás colocando una postura y defendiéndola, moví el tema al foro del café.

Saludos

_________________
Reglamento del foro | Temas más preguntados | Mi blog | Debian Tes
 Perfil  
Ayax

Desconectado
Administrador
Administrador
Avatar de Usuario

Registrado: Mié Dic 31, 1969 6:00 pm
Mensajes: 3206
Ubicación: León, Guanajuato; México.

Nota Publicado: Sab Jun 03, 2006 11:09 am 
Arriba  
Hola:

Algo mejor, lo movemos al foro Seguridad y lo ponemos como postit. Creo que es un buen lugar para que los usuarios expongan también sus casos.

Saludos.

_________________
No hay nada que agradecer. Hago, lo tengo que hacer.
Reglamento del foro | Temas más preguntados | Blog personal | Twitter: @pacorevilla
 Perfil WWW ICQ  
corrius

Desconectado
Forista Mayor
Forista Mayor
Avatar de Usuario

Registrado: Mié Jun 22, 2005 11:00 pm
Mensajes: 731
Ubicación: España

Nota Publicado: Jue Jun 08, 2006 9:50 am 
Arriba  
A ver si hay alguien que se anime a colaborar, podria ser un buen ejemplo para los novatos, tener varios iptables que comparar

_________________
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
Reglamento del foro | Temas más preguntados
 Perfil WWW  
DrP

Desconectado
Forista Distinguido
Forista Distinguido
Avatar de Usuario

Registrado: Mié Jul 20, 2005 11:00 pm
Mensajes: 1037
Ubicación: /usr/local/cba

Nota Publicado: Mié Jun 14, 2006 1:07 pm 
Arriba  
Como no soy admin de ninguna red en realidad nunca le presté demasiada atención a iptables. Siempre me apasionó, pero me daba vagueza la idea de ponerme a crear y pulir reglas.
Desde hace mucho tiempo uso firestarter por default y al menos no tengo problemas.

_________________
2010.05 x64
 Perfil  
corrius

Desconectado
Forista Mayor
Forista Mayor
Avatar de Usuario

Registrado: Mié Jun 22, 2005 11:00 pm
Mensajes: 731
Ubicación: España

Nota Publicado: Jue Jun 15, 2006 1:39 pm 
Arriba  
Una pregunta DrP^firestarter te deja agregar reglas en ubuntu? porque a mi no me viene desabilitado ese boton por eso me vi obligado a crear el mio propio.

Saludos

_________________
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
Reglamento del foro | Temas más preguntados
 Perfil WWW  
DrP

Desconectado
Forista Distinguido
Forista Distinguido
Avatar de Usuario

Registrado: Mié Jul 20, 2005 11:00 pm
Mensajes: 1037
Ubicación: /usr/local/cba

Nota Publicado: Jue Jun 15, 2006 3:11 pm 
Arriba  
No sé, lo uso por default por las razones que te di antes.
Pero te deja crear reglas básicas para los programas desde el mismo firestarter, obviamente que no debe ser lo mismo, pero algo es algo.

_________________
2010.05 x64
 Perfil  
Destructor

Desconectado
Forista Legendario
Forista Legendario
Avatar de Usuario

Registrado: Dom Jul 04, 2004 11:00 pm
Mensajes: 1672
Ubicación: México, Distrito Federal

Nota Publicado: Vie Jun 16, 2006 9:37 am 
Arriba  
Pues yo tengo lo mismo que comenta DrP, entiendo que de esta forma tienes restringido cualquier acceso, y de ahí poco a poco vas permitiendo aplicaciones o abriendo puertos, pero hasta el momento no he necesitado nada de eso.

_________________
Reglamento del foro | Temas más preguntados | Mi blog | Debian Tes
 Perfil  
corrius

Desconectado
Forista Mayor
Forista Mayor
Avatar de Usuario

Registrado: Mié Jun 22, 2005 11:00 pm
Mensajes: 731
Ubicación: España

Nota Publicado: Sab Jun 17, 2006 4:52 pm 
Arriba  
DrP escribió:
No sé, lo uso por default por las razones que te di antes.
Pero te deja crear reglas básicas para los programas desde el mismo firestarter, obviamente que no debe ser lo mismo, pero algo es algo.

Yo tambien tengo instalado firestarter ya que es comodo para cuando necesito detener iptables por algun motivo pero el caso es que cuando voy a crear una regla pincho en normativa en firestarter y todas las opciones de esa ventana desplegable me salen en gris, y me es imposible seleccionarlas, ya he probado a reinstalar firestarter mediante los repositorios pero nada.
Alguien sabria donde puede estar el problema?

_________________
Linux User #398924
La fe no mueve montañas,
las taladradoras las atraviesan.
Reglamento del foro | Temas más preguntados
 Perfil WWW  
cristiani

Desconectado
Forista Medio
Forista Medio

Registrado: Vie Jul 07, 2006 11:00 pm
Mensajes: 221
Ubicación: Villahermosa,Tab. México

Nota Publicado: Vie Ago 18, 2006 12:33 pm 
Arriba  
ummm yo estoy recien comenzando con ubuntu en linux, y no tengo activado ningun firewalls, lo trae por defecto activado ubuntu dapper.

tengo activado el firewall del gateway 1070 que me proporciono telmex; es recomendable que use alguno.

gracias y disculpen por colgrame de este hilo.

_________________
Caer,tropezar y equivocarse está permitido... pero, levantarse y seguir adelante es obligatorio ^^
 Perfil  
meleagro

Desconectado
Miembro ETEL
Miembro ETEL
Avatar de Usuario

Registrado: Lun Jun 06, 2005 11:00 pm
Mensajes: 1162
Ubicación: En tus pesadillas

Nota Publicado: Vie Ago 18, 2006 11:55 pm 
Arriba  
Me parece un muy buen script, por los "echo" se ve que has usado el manual de Pello ( buenísimo, una referencia en Iptables en castellano ).
Tengo que probarlo pero creo que en mi caso debería permitir conexiones al FTP, que según este script solo permite cuando la conexión está previamente establecida.

Ya comentaré como me queda el mio.

_________________
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net
 Perfil Email WWW  
h0m3rtr1x

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Mié Dic 29, 2004 12:00 am
Mensajes: 40
Ubicación: Neuquen

Nota Publicado: Sab Ago 19, 2006 12:53 am 
Arriba  
yo tengo una pregunta cuando decis que abris los puertos, ¿los abris o los pones en escucha?, porque no era que si lo dejabas abierta ahi era cuando te entraban?

chau

PD: disculpen mi ignorancia

_________________
PC's
1: Intel Core 2 Quad Q6660 @ 2,4 Ghz, 4gb Ram, NVidia Geforce 8600 GT, SB X-Fi Fatal1ty 64 X-Ram. Monitor: ViewSonic 22'' Wide (16:10) SO: win xp y mandriva 2008.1
2: p4 2,6 ghz; monitor 17'; 1024 ram; geforce FX 5200 @ 5500 128mb 205@275 405@475.
 Perfil Email WWW YIM  
meleagro

Desconectado
Miembro ETEL
Miembro ETEL
Avatar de Usuario

Registrado: Lun Jun 06, 2005 11:00 pm
Mensajes: 1162
Ubicación: En tus pesadillas

Nota Publicado: Sab Ago 19, 2006 5:35 am 
Arriba  
h0m3rtr1x escribió:
yo tengo una pregunta cuando decis que abris los puertos, ¿los abris o los pones en escucha?


Yo creo que es un poco cada uno como utiliza el lenguaje.
Yo suelo utilizar abierto cuando ese puerto sale "open" utilizando algún scaner puertos como nmap. y en escucha cuando hay algún programa escuchando por ese puerto, el caso de tener un servidor http en el puerto 80 por ejemplo.

_________________
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net
 Perfil Email WWW  
francog

Desconectado
Forista Distinguido
Forista Distinguido
Avatar de Usuario

Registrado: Lun Abr 25, 2005 11:00 pm
Mensajes: 1171
Ubicación: Mexico D.F.

Nota Publicado: Sab Ago 19, 2006 7:34 pm 
Arriba  
corrius...

Seria bueno agregar la parte del NAT, asi como la redireccion de los puertos, para una DMZ

_________________
Todos somos muy ignorantes... Lo que ocurre es que no todos ignoramos las mismas cosas
Albert E.
Reglamento de los foros | Temas más preguntados
 Perfil  
paguezm

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Lun Ago 07, 2006 11:00 pm
Mensajes: 3

Nota Publicado: Dom Ago 20, 2006 4:27 pm 
Arriba  
Hola!!
Alguien me puede ayudar por favor a guardar unas reglas iptables para q esten cuando reinicio la maquina
las reglas son:
iptables -P OUTPUT DROP
iptables -A OUTPUT -d 209.73.186.238 -j ACCEPT
estas si me sirven perfectamente para lo que las quiero pero no se como guardarlas
intente con
/sbin/service iptables save
pero no funciona
GRACIAS
 Perfil  
Mostrar mensajes previos:  Ordenar por  
 Página 1 de 3
  [ 32 mensajes ]  Ir a página 1, 2, 3  Siguiente
Nuevo tema Responder al tema

Saltar a:  


¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC - 6 horas
Traducción al español por Huan Manwë
phpBB SEO