Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a OUPUT porque sino jamas se abre el puerto.
El 29 de marzo de 2015, 20:56, angel jauregui darkdiabliyo@gmail.com escribió:
Pues para empezar visiblemente las reglas estan bien, pero cuando levanto el firewall los puertos pasan de "open" a "filtered", y no permite conectar :(
El SSH si lo tengo abierto, pero lo omiti en mis reglas....
De momento estoy haciendo pruebas en una *VirtualBox* y como les comente, las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(
Saludos !
El 28 de marzo de 2015, 18:15, José Roberto Alas jrobertoalas@gmail.com escribió:
2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:
jajajajaja la volvi a regar.... hay va de nuez:
# denegamos todo iptables -P INPUT DROP # cancelamos
entrada
iptables -P OUTPUT DROP # cancelamos
salidas
iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat
prerouting
iptables -t nat -P POSTROUTING DROP # cancelamos nat
postrouting
echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
reenvio
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.
No esta de mas permitir el acceso por SSH, para administrar el server
El 27 de marzo de 2015, 20:37, angel jauregui darkdiabliyo@gmail.com escribió:
Rayos... se copio y pego doble :S... hay va corregido:
# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting
echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
El 27 de marzo de 2015, 20:36, angel jauregui darkdiabliyo@gmail.com escribió:
Buen dia lista :D
Quiero montar un firewall configurado por defecto en DROP y abrir solo los puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla y quedarme sin conexion jejejej :D
Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas y me den sus criticas:
iptables -F iptables -X iptables -Z iptables -t nat -F
# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT #iptables -F iptables -X iptables -Z iptables -t nat -F
# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting
echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.