[CentOS-es] Problema iptables
Maykel Franco Hernández
maykel en maykel.es
Mar Feb 16 13:18:06 UTC 2010
Increíble manual...Pero cabe destacar que mi politica de DROP solo y
exclusivamente es para INPUT...por eso te lo comentaba porque
supuestamente con habilitar el 25, 110 y 143(imap) valdría pero sin
embargo tengo que agregarle la linea que te he comentado.
iptables --list:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- 192.168.1.57 server1.example.com tcp dpt:ssh
ACCEPT tcp -- 192.168.1.73 server1.example.com tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:imap2
ACCEPT tcp -- anywhere anywhere tcp
dpts:cisco-sccp:x11
ACCEPT tcp -- anywhere anywhere tcp
dpt:microsoft-ds
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
> Algo muy importante, cuando tienes la politica en DROP, nada entra y nada
> SALE sin tu permiso, por lo tanto si abres puertos de destino, tambien
> debes
> abrir puertos de origen. Tomando tus lineas
>
> iptables -A INPUT -p tcp --dport 25 -j ACCEPT
>
> entonces tambien agregas
>
> iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
>
> o sea de entrada y salida
>
> Revisa esto y te quedarà mas claro.
>
> http://crucible.wordpress.com/2007/10/02/firewall-con-iptables-con-drop-como-politica-por-defecto/
>
> Saludos desde Chile.
>
>
>
> El 16 de febrero de 2010 09:48, Rodrigo Julio P�rez
> <rjulio en gmail.com>escribió:
>
>> Asi es, por que recuerda que iptables al entrar un paquete los compara
>> con
>> cada regla (-A), y si encuentra una coincidente hace lo que corresponde
>> y no
>> sigue mirando mas reglas, entonces, si tienes la regla -A con estado
>> ESTABLISHED, RELATED, Aceptada, y es un paquete de una conexcion ya
>> establecida, pasa, pero si es nueva sigue mas abajo para hasta encontrar
>> la
>> que coincide, entonces, si no tuvieras el estado ESTABLISHED, RELATED,
>> todas
>> serian nuevas, nada mas.
>> Recuerda que te dije que eso es hilar mas fino.
>>
>> Atte.
>>
>>
>>
>> El 16 de febrero de 2010 09:42, Maykel Franco Hernández
>> <maykel en maykel.es>escribió:
>>
>> Gracias nuevamente por contestar, entonces si yo coloco esas lineas de
>>> relacionadas y establecidas queden aceptadas y luego le meto reglas y
>>> esas
>>> reglas que estan por debajo de las relacionadas y establecidas al ser
>>> nuevas se transforman en establecidas y relacionadas??? Un saludo. Esto
>>> me
>>> provoca confusión ya que en algunos manuales vienen y en otros ni lo
>>> mencionan por eso me reparo en esto
>>>
>>>
>>> > Tu te has contestado, primero estableces la politica -P DROP
>>> > luegos abres lo que quieres abrir, si colocas que las entradas
>>> > establecidas
>>> > y relacionadas queden aceptadas. mas abajo colocas que las que son
>>> nuevas
>>> > entren, por lo tanto esas nuevas luego se trasnforman en establecidas
>>> y
>>> > relacionedas,
>>> >
>>> > Eso.
>>> > Saludos
>>> >
>>> >
>>> >
>>> >
>>> > El 16 de febrero de 2010 09:24, Maykel Franco Hernández
>>> > <maykel en maykel.es>escribió:
>>> >
>>> >> Gracias por contestar pero si por ejemplo mi politica para INPUT es
>>> >> denegar todo hasta que yo no lo habilite. Que pintan esas reglas
>>> ahÃ??
>>> >> Porque si habilito lo que yo quiera es porque yo quiero. Lo que me
>>> >> quiero
>>> >> referir con esto es si quitando esas lineas tambien funcionarÃa
>>> todo.
>>> >>
>>> >>
>>> >> > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>>> >> > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>>> >> >
>>> >> > Eso es para acceptar las conexiones ya establecidas o
>>> relacionadas.
>>> >> >
>>> >> > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>>> >> >
>>> >> > y eso es lo mismo que
>>> >> >
>>> >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>>> >> >
>>> >> > solo que hilando mas fino. y para puertos de destino (dport).
>>> >> >
>>> >> > Saludos
>>> >> >
>>> >> > El 16 de febrero de 2010 03:54, Maykel Franco Hernández
>>> >> > <maykel en maykel.es>escribió:
>>> >> >
>>> >> >> > Estimado, seguramente tienes activado tu server ftp para
>>> >> conexiones
>>> >> >> > pasivas,
>>> >> >> > por lo tanto debes abrir los puertos altos en el firewall...
>>> echale
>>> >> un
>>> >> >> > vistazo a esto, a mi me soluciono el problema.
>>> >> >> >
>>> >> >> >
>>> >> >>
>>> >>
>>> http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables
>>> >> >> >
>>> >> >> > Saludos desde Chile.
>>> >> >> >
>>> >> >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández
>>> >> >> > <maykel en maykel.es>escribió:
>>> >> >> >
>>> >> >> >> Si te comento, solo uso una interface y el iptables está enel
>>> >> propio
>>> >> >> >> servidor, es decir, no hay un servidor entre la red local y el
>>> >> router
>>> >> >> >> que
>>> >> >> >> funciona como firewall. La idea es aprender simplemente, y
>>> tengo
>>> >> un
>>> >> >> >> servidor web, ssh, samba y ftp. Y la configuracion que he
>>> dejado
>>> >> me
>>> >> >> >> funciona todo menos el ftp que se que hace el intento de
>>> >> conectarse
>>> >> >> bien
>>> >> >> >> pero se queda en la parte final y no lista el directorio y mi
>>> >> >> consulta
>>> >> >> >> era
>>> >> >> >> esa porque funciona con esos servicios y no con ftp nada más.
>>> Un
>>> >> >> saludo
>>> >> >> >> y
>>> >> >> >> gracias por interesarte.
>>> >> >> >>
>>> >> >> >>
>>> >> >> >> > la cosa esta en que no has especificado la configuracion de
>>> tu
>>> >> >> server,
>>> >> >> >> al
>>> >> >> >> > parecer solo estas usando una interface, ¿solo lo usas para
>>> web?
>>> >> >> >> > ¿ cuantas tarjetas tienes de red tienes alli?
>>> >> >> >> >
>>> >> >> >> > Saludos
>>> >> >> >> >
>>> >> >> >> >
>>> >> >> >> > Aland Laines Calonge
>>> >> >> >> > Tecnico en Informatica
>>> >> >> >> >
>>> >> >> >> >
>>> >> >> >> >
>>> >> >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández
>>> >> >> >> > <maykel en maykel.es>escribió:
>>> >> >> >> >
>>> >> >> >> >> Gracias por contestar. Entonces lo que no sé es porque me
>>> >> funciona
>>> >> >> el
>>> >> >> >> >> servidor web tal y como está, ssh tambien me funciona y el
>>> >> samba
>>> >> >> >> (puerto
>>> >> >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin
>>> meter
>>> >> >> reglas
>>> >> >> >> de
>>> >> >> >> >> entrada y salida o es que el ftp se comporta de distinta
>>> manera
>>> >> >> >> porque
>>> >> >> >> >> si
>>> >> >> >> >> no, no lo entiendo...
>>> >> >> >> >>
>>> >> >> >> >>
>>> >> >> >> >> > Hola, el problema esta en que cuando tienes las politicas
>>> en
>>> >> >> drop
>>> >> >> >> por
>>> >> >> >> >> > defecto, las reglas para abrir un servicio deben ser de
>>> >> entrada
>>> >> >> y
>>> >> >> >> de
>>> >> >> >> >> > salida,
>>> >> >> >> >> > algo como:
>>> >> >> >> >> >
>>> >> >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m
>>> state
>>> >> >> >> --state
>>> >> >> >> >> > ESTABLISHED -j ACCEPT
>>> >> >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m
>>> state
>>> >> >> >> --state
>>> >> >> >> >> > NEW,ESTABLISHED -j ACCEPT
>>> >> >> >> >> > donde $EXTIF es la tarjeta de red que va conectada al
>>> >> router.
>>> >> >> >> >> >
>>> >> >> >> >> > Saludos,
>>> >> >> >> >> >
>>> >> >> >> >> > Aland Laines Calonge
>>> >> >> >> >> > Tecnico en Informatica
>>> >> >> >> >> >
>>> >> >> >> >> >
>>> >> >> >> >> >
>>> >> >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández
>>> >> >> >> >> > <maykel en maykel.es>escribió:
>>> >> >> >> >> >
>>> >> >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de
>>> >> iptables
>>> >> >> >> para
>>> >> >> >> >> >> servidores y tengo la siguiente configuracion basica:
>>> >> >> >> >> >>
>>> >> >> >> >> >> #!/bin/bash
>>> >> >> >> >> >>
>>> >> >> >> >> >> #-s Especifica una direcci�n de origen
>>> >> >> >> >> >> #-d Especifica una direcci�n de destino
>>> >> >> >> >> >> #-p Especifica un prototocolo
>>> >> >> >> >> >> #-i Especifica un interface de entrada
>>> >> >> >> >> >> #-o Especifica un interface de salida
>>> >> >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el
>>> paquete
>>> >> >> >> >> >> #--sport Puerto de origen
>>> >> >> >> >> >> #--dport Puerto de destino
>>> >> >> >> >> >>
>>> >> >> >> >> >> #Borrar todas las reglas
>>> >> >> >> >> >> iptables -F
>>> >> >> >> >> >>
>>> >> >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir
>>> lo
>>> >> >> >> solicitado
>>> >> >> >> >> >> iptables -P INPUT DROP
>>> >> >> >> >> >> iptables -P OUTPUT ACCEPT
>>> >> >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED
>>> -j
>>> >> >> ACCEPT
>>> >> >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED
>>> -j
>>> >> >> ACCEPT
>>> >> >> >> >> >>
>>> >> >> >> >> >> # Permitimos que se conecten a nuestro servidor web.
>>> >> >> >> >> >>
>>> >> >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80
>>> -j
>>> >> >> ACCEPT
>>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>>> >> >> >> >> >>
>>> >> >> >> >> >> # Permitimos la comunicaci�n con el servidor dns
>>> >> >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
>>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>>> >> >> >> >> >>
>>> >> >> >> >> >> #Permitimos uso de ftp.
>>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>>> >> >> >> >> >>
>>> >> >> >> >> >>
>>> >> >> >> >> >>
>>> >> >> >> >> >> La politica por defecto es rechazar todo lo que entra
>>> menos
>>> >> >> para
>>> >> >> >> el
>>> >> >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona
>>> correctamente
>>> >> pero
>>> >> >> el
>>> >> >> >> ftp
>>> >> >> >> >> no
>>> >> >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e
>>> incluso
>>> >> he
>>> >> >> >> >> probado
>>> >> >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona
>>> todo
>>> >> >> menos
>>> >> >> >> el
>>> >> >> >> >> ftp
>>> >> >> >> >> >> que conecta bien pero al final de la conexion se queda
>>> >> colgado
>>> >> >> y
>>> >> >> >> no
>>> >> >> >> >> >> logra
>>> >> >> >> >> >> listarme los directorios. Nada más quitar la politica
>>> por
>>> >> >> defecto
>>> >> >> >> de
>>> >> >> >> >> que
>>> >> >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp
>>> >> correctamente(es
>>> >> >> >> decir
>>> >> >> >> >> >> que
>>> >> >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal?
>>> >> >> >> >> >>
>>> >> >> >> >> >> _______________________________________________
>>> >> >> >> >> >> CentOS-es mailing list
>>> >> >> >> >> >> CentOS-es en centos.org
>>> >> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >> >> >>
>>> >> >> >> >> > _______________________________________________
>>> >> >> >> >> > CentOS-es mailing list
>>> >> >> >> >> > CentOS-es en centos.org
>>> >> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >> >> >
>>> >> >> >> >>
>>> >> >> >> >>
>>> >> >> >> >> _______________________________________________
>>> >> >> >> >> CentOS-es mailing list
>>> >> >> >> >> CentOS-es en centos.org
>>> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >> >>
>>> >> >> >> > _______________________________________________
>>> >> >> >> > CentOS-es mailing list
>>> >> >> >> > CentOS-es en centos.org
>>> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >> >
>>> >> >> >>
>>> >> >> >>
>>> >> >> >> _______________________________________________
>>> >> >> >> CentOS-es mailing list
>>> >> >> >> CentOS-es en centos.org
>>> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >>
>>> >> >> >
>>> >> >> >
>>> >> >> >
>>> >> >> > --
>>> >> >> > Rodrigo Julio Pérez
>>> >> >> > Ingeniero en Gestión Informática
>>> >> >> >
>>> >> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>>> >> >> > mediocremente
>>> >> >> > servidas" Gabriela Mistral
>>> >> >> > _______________________________________________
>>> >> >> > CentOS-es mailing list
>>> >> >> > CentOS-es en centos.org
>>> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >> >
>>> >> >>
>>> >> >>
>>> >> >>
>>> >> >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto,
>>> >> estas
>>> >> >> lineas que se añaden en algunas configuraciones de iptables para
>>> que
>>> >> >> sirven??:
>>> >> >>
>>> >> >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>>> >> >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j
>>> ACCEPT
>>> >> >>
>>> >> >> Y si para añadir puertos a servicios utilizo esto:
>>> >> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>>> >> >>
>>> >> >> Porque en algunos lados aparece asÃ??
>>> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j
>>> ACCEPT
>>> >> >>
>>> >> >> Gracias por todo, un saludo.
>>> >> >>
>>> >> >>
>>> >> >> _______________________________________________
>>> >> >> CentOS-es mailing list
>>> >> >> CentOS-es en centos.org
>>> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >>
>>> >> >
>>> >> >
>>> >> >
>>> >> > --
>>> >> > Rodrigo Julio Pérez
>>> >> > Ingeniero en Gestión Informática
>>> >> >
>>> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>>> >> > mediocremente
>>> >> > servidas" Gabriela Mistral
>>> >> > _______________________________________________
>>> >> > CentOS-es mailing list
>>> >> > CentOS-es en centos.org
>>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >
>>> >>
>>> >>
>>> >> _______________________________________________
>>> >> CentOS-es mailing list
>>> >> CentOS-es en centos.org
>>> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > Rodrigo Julio Pérez
>>> > Ingeniero en Gestión Informática
>>> >
>>> > "Todo el desorden del mundo proviene de las profesiones mal o
>>> > mediocremente
>>> > servidas" Gabriela Mistral
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es en centos.org
>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >
>>>
>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> Rodrigo Julio Pérez
>> Ingeniero en Gestión Informática
>>
>> "Todo el desorden del mundo proviene de las profesiones mal o
>> mediocremente
>> servidas" Gabriela Mistral
>>
>
>
>
> --
> Rodrigo Julio Pérez
> Ingeniero en Gestión Informática
>
> "Todo el desorden del mundo proviene de las profesiones mal o
> mediocremente
> servidas" Gabriela Mistral
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es