lo que siempre hago es darle a mi ip permisos totales para no "cagarla"

:D

El 27 de marzo de 2015, 22:44, angel jauregui darkdiabliyo@gmail.com escribió:

jajajajaja la volvi a regar.... hay va de nuez:

# denegamos todo iptables -P INPUT DROP # cancelamos entrada iptables -P OUTPUT DROP # cancelamos salidas iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat prerouting iptables -t nat -P POSTROUTING DROP # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:37, angel jauregui darkdiabliyo@gmail.com escribió:

...

Rayos... se copio y pego doble :S... hay va corregido:

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat

prerouting

...

iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:36, angel jauregui darkdiabliyo@gmail.com escribió:

Buen dia lista :D

...

Quiero montar un firewall configurado por defecto en DROP y abrir solo los puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla y quedarme sin conexion jejejej :D

Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de

modo

...

...

que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas y me den sus criticas:

iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT #iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Saludos !

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

Pues para empezar visiblemente las reglas estan bien, pero cuando levanto el firewall los puertos pasan de "open" a "filtered", y no permite conectar :(

El SSH si lo tengo abierto, pero lo omiti en mis reglas....

De momento estoy haciendo pruebas en una *VirtualBox* y como les comente, las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas jrobertoalas@gmail.com escribió:

2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:

...

jajajajaja la volvi a regar.... hay va de nuez:

# denegamos todo iptables -P INPUT DROP # cancelamos

entrada

...

iptables -P OUTPUT DROP # cancelamos

salidas

...

iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat prerouting iptables -t nat -P POSTROUTING DROP # cancelamos nat

postrouting

...

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

...

El 27 de marzo de 2015, 20:37, angel jauregui darkdiabliyo@gmail.com escribió:

...

Rayos... se copio y pego doble :S... hay va corregido:

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:36, angel jauregui darkdiabliyo@gmail.com escribió:

Buen dia lista :D

...

Quiero montar un firewall configurado por defecto en DROP y abrir solo los puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla y quedarme sin conexion jejejej :D

Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas y me den sus criticas:

iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT #iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Saludos !

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

El 30 de marzo de 2015, 11:28 a. m., angel jauregui darkdiabliyo@gmail.com escribió:

Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a OUPUT porque sino jamas se abre el puerto.

Si tienes razón. Lo que pasa que en mi caso tengo algunas configuracion al contrario, abro todo primero y luego cierro. En esa parte inicial van las conexiones entrantes y salientes.

El 29 de marzo de 2015, 20:56, angel jauregui darkdiabliyo@gmail.com escribió:

...

Pues para empezar visiblemente las reglas estan bien, pero cuando levanto el firewall los puertos pasan de "open" a "filtered", y no permite conectar :(

El SSH si lo tengo abierto, pero lo omiti en mis reglas....

De momento estoy haciendo pruebas en una *VirtualBox* y como les comente, las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas jrobertoalas@gmail.com escribió:

...

2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:

...

jajajajaja la volvi a regar.... hay va de nuez:

# denegamos todo iptables -P INPUT DROP # cancelamos

entrada

...

iptables -P OUTPUT DROP # cancelamos

salidas

...

iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat

prerouting

...

iptables -t nat -P POSTROUTING DROP # cancelamos nat

postrouting

...

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

...

El 27 de marzo de 2015, 20:37, angel jauregui darkdiabliyo@gmail.com escribió:

...

Rayos... se copio y pego doble :S... hay va corregido:

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:36, angel jauregui darkdiabliyo@gmail.com escribió:

Buen dia lista :D

...

Quiero montar un firewall configurado por defecto en DROP y abrir solo los puertos que quiero, pero como el servidor esta EN LINEA, no quiero cagarla y quedarme sin conexion jejejej :D

Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas y me den sus criticas:

iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT #iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Saludos !

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

La regla que hice para evitar problemas es que la politica OUTPUT sea ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.

Pero OJO, veo que el server jala todo bien, el problema que veo ahora es DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer reglas tambien para conexion de adentor hacia afuera.

Vere el link :D

Saludos !

El 30 de marzo de 2015, 12:54, José Roberto Alas jrobertoalas@gmail.com escribió:

El 29 de marzo de 2015, 7:56 p. m., angel jauregui darkdiabliyo@gmail.com escribió:

...

Pues para empezar visiblemente las reglas estan bien, pero cuando levanto el firewall los puertos pasan de "open" a "filtered", y no permite

conectar

Muy interesante esta explicación, espero te sirva

http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nma...

...

:(

El SSH si lo tengo abierto, pero lo omiti en mis reglas....

De momento estoy haciendo pruebas en una *VirtualBox* y como les comente, las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoalas@gmail.com

escribió:

...

2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:

...

jajajajaja la volvi a regar.... hay va de nuez:

# denegamos todo iptables -P INPUT DROP # cancelamos

entrada

...

iptables -P OUTPUT DROP # cancelamos

salidas

...

iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat

prerouting

...

...

...

iptables -t nat -P POSTROUTING DROP # cancelamos nat

postrouting

...

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

...

El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo@gmail.com

...

...

escribió:

...

Rayos... se copio y pego doble :S... hay va corregido:

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos reencios iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

El 27 de marzo de 2015, 20:36, angel jauregui <

darkdiabliyo@gmail.com>

...

...

...

...

escribió:

Buen dia lista :D

...

Quiero montar un firewall configurado por defecto en DROP y abrir

solo

...

...

...

...

...

los puertos que quiero, pero como el servidor esta EN LINEA, no

quiero

...

...

...

...

...

cagarla y quedarme sin conexion jejejej :D

Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de modo que *hice las siguientes reglas* las cuales quiero ver si pueden checarlas y me den sus criticas:

iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos

reencios

...

...

...

...

...

iptables -t nat -P PREROUTING ACCEPT #iptables -F iptables -X iptables -Z iptables -t nat -F

# denegamos todo iptables -P INPUT ACCEPT # cancelamos entrada iptables -P OUTPUT ACCEPT # cancelamos salidas iptables -P FORWARD ACCEPT # cancelamos

reencios

...

...

...

...

...

iptables -t nat -P PREROUTING ACCEPT # cancelamos nat prerouting iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat postrouting

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Saludos !

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

Otro problema...

Es que si reiniciar el firewall, debes volver a mencionar las politicas INPUT, FORWARD y OUTPUT, cambiandolas a ACCEPT, sino solamente estas vaciando iptables pero las politicas se quedan tal cual..

Saludos !

El 30 de marzo de 2015, 13:02, angel jauregui darkdiabliyo@gmail.com escribió:

Solucionado:

iptables -A INPUT -s MI.ip -p tcp -j ACCEPT iptables -A INPUT -s MI.ip -p udp -j ACCEPT iptables -A INPUT -s MI.ip -p icmp -j ACCEPT

Ya puedo consultar de mi server hacia afuera...

Saludos !

El 30 de marzo de 2015, 13:01, angel jauregui darkdiabliyo@gmail.com escribió:

...

La regla que hice para evitar problemas es que la politica OUTPUT sea ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.

Pero OJO, veo que el server jala todo bien, el problema que veo ahora es DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer reglas tambien para conexion de adentor hacia afuera.

Vere el link :D

Saludos !

El 30 de marzo de 2015, 12:54, José Roberto Alas jrobertoalas@gmail.com escribió:

...

El 29 de marzo de 2015, 7:56 p. m., angel jauregui darkdiabliyo@gmail.com escribió:

...

Pues para empezar visiblemente las reglas estan bien, pero cuando

levanto

...

el firewall los puertos pasan de "open" a "filtered", y no permite

conectar

Muy interesante esta explicación, espero te sirva

http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nma...

...

:(

El SSH si lo tengo abierto, pero lo omiti en mis reglas....

De momento estoy haciendo pruebas en una *VirtualBox* y como les

comente,

...

las reglas no tiran error, pero me deja los puertos filtrados, en fin, inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas <

jrobertoalas@gmail.com>

...

escribió:

...

2015-03-27 19:44 GMT-06:00, angel jauregui darkdiabliyo@gmail.com:

...

jajajajaja la volvi a regar.... hay va de nuez:

# denegamos todo iptables -P INPUT DROP # cancelamos

entrada

...

iptables -P OUTPUT DROP # cancelamos

salidas

...

iptables -P FORWARD DROP # cancelamos reencios iptables -t nat -P PREROUTING DROP # cancelamos nat

prerouting

...

...

...

iptables -t nat -P POSTROUTING DROP # cancelamos nat

postrouting

...

echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de

reenvio

...

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

...

80 -j ACCEPT iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

...

...

443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

...

El 27 de marzo de 2015, 20:37, angel jauregui <

darkdiabliyo@gmail.com>

...

...

...

escribió:

> Rayos... se copio y pego doble :S... hay va corregido: > > # denegamos todo > iptables -P INPUT ACCEPT #

cancelamos

...

...

...

> entrada > iptables -P OUTPUT ACCEPT #

cancelamos

...

...

...

> salidas > iptables -P FORWARD ACCEPT # cancelamos

reencios

...

...

...

> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat > prerouting > iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat > postrouting > > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de > reenvio > > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

> 80 -j ACCEPT > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp

--dport

...

> 443 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > > El 27 de marzo de 2015, 20:36, angel jauregui <

darkdiabliyo@gmail.com>

...

...

...

> escribió: > > Buen dia lista :D >> >> Quiero montar un firewall configurado por defecto en DROP y abrir

solo

...

...

...

>> los puertos que quiero, pero como el servidor esta EN LINEA, no

quiero

...

...

...

>> cagarla y quedarme sin conexion jejejej :D >> >> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,

de

...

...

...

>> modo >> que *hice las siguientes reglas* las cuales quiero ver si pueden >> checarlas y me den sus criticas: >> >> iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> # denegamos todo >> iptables -P INPUT ACCEPT #

cancelamos

...

...

...

>> entrada >> iptables -P OUTPUT ACCEPT #

cancelamos

...

...

...

>> salidas >> iptables -P FORWARD ACCEPT # cancelamos

reencios

...

...

...

>> iptables -t nat -P PREROUTING ACCEPT #iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> # denegamos todo >> iptables -P INPUT ACCEPT #

cancelamos

...

...

...

>> entrada >> iptables -P OUTPUT ACCEPT #

cancelamos

...

...

...

>> salidas >> iptables -P FORWARD ACCEPT # cancelamos

reencios

...

...

...

>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >> prerouting >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >> postrouting >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> reenvio >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> 80 -j ACCEPT >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> 443 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> Saludos ! >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.cantu@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.cantu@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. >

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.

-- M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.