Hola como estan, estoy empezando con iptables y quiero crear una regla que bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos
Hola puedes usar una regla algo así
ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP
Saludos
El oct 27, 2016 9:26 PM, "Fernando Romero" ffrcaraballo@gmail.com escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla que bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Hola Roberto, el DROP permite la conexión a todos a ese puerto?
Saludos
El 28 de octubre de 2016, 0:24, Roberto Bermúdez rogerb99@gmail.com escribió:
Hola puedes usar una regla algo así
ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP
Saludos
El oct 27, 2016 9:26 PM, "Fernando Romero" ffrcaraballo@gmail.com escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla
que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
la
que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
(aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Hola Fernando lo que se expresa en el ejemplo que te pongo es que niegue la conexión a toda IP que NO esté expresada en el lugar de las X's
El oct 28, 2016 1:38 PM, "Fernando Romero" ffrcaraballo@gmail.com escribió:
Hola Roberto, el DROP permite la conexión a todos a ese puerto?
Saludos
El 28 de octubre de 2016, 0:24, Roberto Bermúdez rogerb99@gmail.com escribió:
Hola puedes usar una regla algo así
ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP
Saludos
El oct 27, 2016 9:26 PM, "Fernando Romero" ffrcaraballo@gmail.com escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla
que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
la
que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
(aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo
definido
en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
El Jueves 27/10/2016, Fernando Romero escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla que bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos
Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
iptables -A INPUT -s 201.216.230.56 -j ACCEPT iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Esto es asi ya que en general en iptables aplica la primera regla que coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
Una alternativa muy utilizada es, en lugar de bloquear todo al final, configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej:
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Otras reglas basicas a considerar son:
# Permitir conexiones locales (interfaz loopback, 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT
# Permitir conexiones relacionadas (la "vuelta" de las que realizamos) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Te dejo unos sitios con ejemplos por si interesan:
https://wiki.centos.org/HowTos/Network/IPTables http://www.cyberciti.biz/tips/linux-iptables-examples.html https://help.ubuntu.com/community/IptablesHowTo
Saludos,
Mister, aplica las reglas que te mensionan los demás chicos y ve cual mas te acomoda.
pero recomiendo comprobar las reglas con nmap, por ejemplo instala nmap en un equipo que no tenga acceso al ssh y escanea tu server de la siguiente forma nmap 201.216.230.56 -p 1-35565
-p indica el puerto.
Tu puerto ssh no debería aparecer listado, de lo contrario está mal tu regla.
Saludos
*Pablo Flores AravenaIngeniero Informátic*o Sysadmin, Centro de Tecnología de la Información CTI-FAVET Facultad de Cs. Veterinarias y Pecuarias - Universidad de Chile Tel: +56 (02) 2978 56 31 - +56 (02) 2978 55 46
El 28 de octubre de 2016, 13:29, Ricardo J. Barberis ricardo@palmtx.com.ar escribió:
El Jueves 27/10/2016, Fernando Romero escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla
que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
la
que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
(aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos
Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
iptables -A INPUT -s 201.216.230.56 -j ACCEPT iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Esto es asi ya que en general en iptables aplica la primera regla que coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
Una alternativa muy utilizada es, en lugar de bloquear todo al final, configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej:
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Otras reglas basicas a considerar son:
# Permitir conexiones locales (interfaz loopback, 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT
# Permitir conexiones relacionadas (la "vuelta" de las que realizamos) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Te dejo unos sitios con ejemplos por si interesan:
https://wiki.centos.org/HowTos/Network/IPTables http://www.cyberciti.biz/tips/linux-iptables-examples.html https://help.ubuntu.com/community/IptablesHowTo
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Ricardo gracias por tu respuesta. No entiendo en el ejemplo si decis que las relgas para bloquear hay que ponerlas a lo ultimo en el segundo ejemplo que pones esta al principio
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Ahi no estaría bloqueando todo y la tercer regla no la aplicaría.
Saludos
El 28 de octubre de 2016, 13:29, Ricardo J. Barberis ricardo@palmtx.com.ar escribió:
El Jueves 27/10/2016, Fernando Romero escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla
que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
la
que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
(aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos
Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
iptables -A INPUT -s 201.216.230.56 -j ACCEPT iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Esto es asi ya que en general en iptables aplica la primera regla que coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
Una alternativa muy utilizada es, en lugar de bloquear todo al final, configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej:
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Otras reglas basicas a considerar son:
# Permitir conexiones locales (interfaz loopback, 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT
# Permitir conexiones relacionadas (la "vuelta" de las que realizamos) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Te dejo unos sitios con ejemplos por si interesan:
https://wiki.centos.org/HowTos/Network/IPTables http://www.cyberciti.biz/tips/linux-iptables-examples.html https://help.ubuntu.com/community/IptablesHowTo
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
El Viernes 28/10/2016, Fernando Romero escribió:
Ricardo gracias por tu respuesta. No entiendo en el ejemplo si decis que las relgas para bloquear hay que ponerlas a lo ultimo en el segundo ejemplo que pones esta al principio
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Ahi no estaría bloqueando todo y la tercer regla no la aplicaría.
No, porque esas 2 primeras reglas definen la politica por defecto ('-P' en vez de '-A', perdon por no aclaralo en el otro mail :) )
Al ser politicas, solo aplican si ninguna otra regla coincidió, y creo que puedes ponerlas en cualquier parte del script pero se acostumbra al principio.
Saludos
El 28 de octubre de 2016, 13:29, Ricardo J. Barberis ricardo@palmtx.com.ar
escribió:
El Jueves 27/10/2016, Fernando Romero escribió:
Hola como estan, estoy empezando con iptables y quiero crear una regla
que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300
Estuve buscando y cree algo asi
Aca rechazo todo el trafico de entrada a menos que hay una regla que permita
iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Aca creo las reglas para permitir
iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
la
que le quiero permitir todo)
iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
(aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config)
Esta configuracion esta bien para lo que quiero hacer arriba?
Gracias y saludos
Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
iptables -A INPUT -s 201.216.230.56 -j ACCEPT iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT
Esto es asi ya que en general en iptables aplica la primera regla que coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
Una alternativa muy utilizada es, en lugar de bloquear todo al final, configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej:
iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT
Otras reglas basicas a considerar son:
# Permitir conexiones locales (interfaz loopback, 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT
# Permitir conexiones relacionadas (la "vuelta" de las que realizamos) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Te dejo unos sitios con ejemplos por si interesan:
https://wiki.centos.org/HowTos/Network/IPTables http://www.cyberciti.biz/tips/linux-iptables-examples.html https://help.ubuntu.com/community/IptablesHowTo
Saludos,
Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
-
Fernando Romero -
Pablo Flores Aravena -
Ricardo J. Barberis -
Roberto Bermúdez