Tu te has contestado, primero estableces la politica -P DROP luegos abres lo que quieres abrir, si colocas que las entradas establecidas y relacionadas queden aceptadas. mas abajo colocas que las que son nuevas entren, por lo tanto esas nuevas luego se trasnforman en establecidas y relacionedas,
Eso. Saludos
El 16 de febrero de 2010 09:24, Maykel Franco Hernández maykel@maykel.esescribió:
Gracias por contestar pero si por ejemplo mi politica para INPUT es denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahí?? Porque si habilito lo que yo quiera es porque yo quiero. Lo que me quiero referir con esto es si quitando esas lineas tambien funcionaría todo.
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
Eso es para acceptar las conexiones ya establecidas o relacionadas.
iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
y eso es lo mismo que
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
solo que hilando mas fino. y para puertos de destino (dport).
Saludos
El 16 de febrero de 2010 03:54, Maykel Franco Hernández maykel@maykel.esescribió:
Estimado, seguramente tienes activado tu server ftp para conexiones pasivas, por lo tanto debes abrir los puertos altos en el firewall... echale un vistazo a esto, a mi me soluciono el problema.
http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vs...
Saludos desde Chile.
El 15 de febrero de 2010 13:47, Maykel Franco Hernández maykel@maykel.esescribió:
Si te comento, solo uso una interface y el iptables está enel propio servidor, es decir, no hay un servidor entre la red local y el router que funciona como firewall. La idea es aprender simplemente, y tengo un servidor web, ssh, samba y ftp. Y la configuracion que he dejado me funciona todo menos el ftp que se que hace el intento de conectarse
bien
pero se queda en la parte final y no lista el directorio y mi
consulta
era esa porque funciona con esos servicios y no con ftp nada más. Un
saludo
y gracias por interesarte.
la cosa esta en que no has especificado la configuracion de tu
server,
al
parecer solo estas usando una interface, ¿solo lo usas para web? ¿ cuantas tarjetas tienes de red tienes alli?
Saludos
Aland Laines Calonge Tecnico en Informatica
El 15 de febrero de 2010 09:16, Maykel Franco Hernández maykel@maykel.esescribió:
> Gracias por contestar. Entonces lo que no sé es porque me funciona
el
> servidor web tal y como está, ssh tambien me funciona y el samba
(puerto
> 445) tambien me funciona tal y como lo he puesto ahi sin meter
reglas
de
> entrada y salida o es que el ftp se comporta de distinta manera
porque
> si > no, no lo entiendo... > > > > Hola, el problema esta en que cuando tienes las politicas en
drop
por
> > defecto, las reglas para abrir un servicio deben ser de entrada
y
de
> > salida, > > algo como: > > > > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state
--state
> > ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m state
--state
> > NEW,ESTABLISHED -j ACCEPT > > donde $EXTIF es la tarjeta de red que va conectada al router. > > > > Saludos, > > > > Aland Laines Calonge > > Tecnico en Informatica > > > > > > > > El 15 de febrero de 2010 08:57, Maykel Franco Hernández > > maykel@maykel.esescribió: > > > >> Hola muy buenas, estoy familiarizandome con el uso de iptables
para
> >> servidores y tengo la siguiente configuracion basica: > >> > >> #!/bin/bash > >> > >> #-s Especifica una direcci�n de origen > >> #-d Especifica una direcci�n de destino > >> #-p Especifica un prototocolo > >> #-i Especifica un interface de entrada > >> #-o Especifica un interface de salida > >> #-j Especifica la acci�n a ejecutar sobre el paquete > >> #--sport Puerto de origen > >> #--dport Puerto de destino > >> > >> #Borrar todas las reglas > >> iptables -F > >> > >> #Politica general.Cerramos todo.Dejamos entrar y salir lo
solicitado
> >> iptables -P INPUT DROP > >> iptables -P OUTPUT ACCEPT > >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
> >> > >> # Permitimos que se conecten a nuestro servidor web. > >> > >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j
ACCEPT
> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT > >> > >> # Permitimos la comunicaci�n con el servidor dns > >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT > >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT > >> > >> #Permitimos uso de ftp. > >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT > >> > >> > >> > >> La politica por defecto es rechazar todo lo que entra menos
para
el
> >> servidor web, ssh, dns y ftp. Todo funciona correctamente pero
el
ftp
> no > >> logro conectarme. Para el ftp solo habilito el 21 e incluso he > probado > >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo
menos
el
> ftp > >> que conecta bien pero al final de la conexion se queda colgado
y
no
> >> logra > >> listarme los directorios. Nada más quitar la politica por
defecto
de
> que > >> todo lo que entra, rechazarlo, funciona el ftp correctamente(es
decir
> >> que > >> el ftp funciona bien). Qué puedo estar haciendo mal? > >> > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Rodrigo Julio Pérez Ingeniero en Gestión Informática
"Todo el desorden del mundo proviene de las profesiones mal o mediocremente servidas" Gabriela Mistral _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto, estas lineas que se añaden en algunas configuraciones de iptables para que sirven??:
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
Y si para añadir puertos a servicios utilizo esto: iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Porque en algunos lados aparece así?? iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
Gracias por todo, un saludo.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Rodrigo Julio Pérez Ingeniero en Gestión Informática
"Todo el desorden del mundo proviene de las profesiones mal o mediocremente servidas" Gabriela Mistral _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es