Otro problema...
Es que si reiniciar el firewall, debes volver a mencionar las politicas INPUT, FORWARD y OUTPUT, cambiandolas a ACCEPT, sino solamente estas vaciando iptables pero las politicas se quedan tal cual..
Saludos !
El 30 de marzo de 2015, 13:02, angel jauregui darkdiabliyo@gmail.com escribió:
Solucionado:
iptables -A INPUT -s MI.ip -p tcp -j ACCEPT iptables -A INPUT -s MI.ip -p udp -j ACCEPT iptables -A INPUT -s MI.ip -p icmp -j ACCEPT
Ya puedo consultar de mi server hacia afuera...
Saludos !
El 30 de marzo de 2015, 13:01, angel jauregui darkdiabliyo@gmail.com escribió:
La regla que hice para evitar problemas es que la politica OUTPUT sea ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
Pero OJO, veo que el server jala todo bien, el problema que veo ahora es DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer reglas tambien para conexion de adentor hacia afuera.
Vere el link :D
Saludos !
El 30 de marzo de 2015, 12:54, José Roberto Alas jrobertoalas@gmail.com escribió:
El 29 de marzo de 2015, 7:56 p. m., angel jauregui darkdiabliyo@gmail.com escribió:
Pues para empezar visiblemente las reglas estan bien, pero cuando
levanto
el firewall los puertos pasan de "open" a "filtered", y no permite
conectar
Muy interesante esta explicación, espero te sirva
http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nma...
:(
El SSH si lo tengo abierto, pero lo omiti en mis reglas....
De momento estoy haciendo pruebas en una *VirtualBox* y como les
comente,
las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(
Saludos !
El 28 de marzo de 2015, 18:15, José Roberto Alas <
jrobertoalas@gmail.com>
escribió:
2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:
jajajajaja la volvi a regar.... hay va de nuez:
# denegamos todo iptables -P INPUT DROP # cancelamos
entrada
iptables -P OUTPUT DROP # cancelamos
salidas
iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat
prerouting
iptables -t nat -P POSTROUTING DROP # cancelamos nat
postrouting
echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
reenvio
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.
No esta de mas permitir el acceso por SSH, para administrar el server
El 27 de marzo de 2015, 20:37, angel jauregui <
darkdiabliyo@gmail.com>
escribió:
> Rayos... se copio y pego doble :S... hay va corregido: > > # denegamos todo > iptables -P INPUT ACCEPT #
cancelamos
> entrada > iptables -P OUTPUT ACCEPT #
cancelamos
> salidas > iptables -P FORWARD ACCEPT # cancelamos
reencios
> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat > prerouting > iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat > postrouting > > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de > reenvio > > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
> 80 -j ACCEPT > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
--dport
> 443 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > > El 27 de marzo de 2015, 20:36, angel jauregui <
darkdiabliyo@gmail.com>
> escribió: > > Buen dia lista :D >> >> Quiero montar un firewall configurado por defecto en DROP y abrir
solo
>> los puertos que quiero, pero como el servidor esta EN LINEA, no
quiero
>> cagarla y quedarme sin conexion jejejej :D >> >> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,
de
>> modo >> que *hice las siguientes reglas* las cuales quiero ver si pueden >> checarlas y me den sus criticas: >> >> iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> # denegamos todo >> iptables -P INPUT ACCEPT #
cancelamos
>> entrada >> iptables -P OUTPUT ACCEPT #
cancelamos
>> salidas >> iptables -P FORWARD ACCEPT # cancelamos
reencios
>> iptables -t nat -P PREROUTING ACCEPT #iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> # denegamos todo >> iptables -P INPUT ACCEPT #
cancelamos
>> entrada >> iptables -P OUTPUT ACCEPT #
cancelamos
>> salidas >> iptables -P FORWARD ACCEPT # cancelamos
reencios
>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >> prerouting >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >> postrouting >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> reenvio >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> 80 -j ACCEPT >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> 443 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> Saludos ! >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.cantu@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.cantu@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. >
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.