[CentOS-es] Problema iptables
Rodrigo Julio P�rez
rjulio en gmail.com
Mar Feb 16 12:31:25 UTC 2010
Tu te has contestado, primero estableces la politica -P DROP
luegos abres lo que quieres abrir, si colocas que las entradas establecidas
y relacionadas queden aceptadas. mas abajo colocas que las que son nuevas
entren, por lo tanto esas nuevas luego se trasnforman en establecidas y
relacionedas,
Eso.
Saludos
El 16 de febrero de 2010 09:24, Maykel Franco Hernández
<maykel en maykel.es>escribió:
> Gracias por contestar pero si por ejemplo mi politica para INPUT es
> denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahí??
> Porque si habilito lo que yo quiera es porque yo quiero. Lo que me quiero
> referir con esto es si quitando esas lineas tambien funcionaría todo.
>
>
> > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
> > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
> >
> > Eso es para acceptar las conexiones ya establecidas o relacionadas.
> >
> > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
> >
> > y eso es lo mismo que
> >
> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> >
> > solo que hilando mas fino. y para puertos de destino (dport).
> >
> > Saludos
> >
> > El 16 de febrero de 2010 03:54, Maykel Franco Hernández
> > <maykel en maykel.es>escribió:
> >
> >> > Estimado, seguramente tienes activado tu server ftp para conexiones
> >> > pasivas,
> >> > por lo tanto debes abrir los puertos altos en el firewall... echale un
> >> > vistazo a esto, a mi me soluciono el problema.
> >> >
> >> >
> >>
> http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables
> >> >
> >> > Saludos desde Chile.
> >> >
> >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández
> >> > <maykel en maykel.es>escribió:
> >> >
> >> >> Si te comento, solo uso una interface y el iptables está enel propio
> >> >> servidor, es decir, no hay un servidor entre la red local y el router
> >> >> que
> >> >> funciona como firewall. La idea es aprender simplemente, y tengo un
> >> >> servidor web, ssh, samba y ftp. Y la configuracion que he dejado me
> >> >> funciona todo menos el ftp que se que hace el intento de conectarse
> >> bien
> >> >> pero se queda en la parte final y no lista el directorio y mi
> >> consulta
> >> >> era
> >> >> esa porque funciona con esos servicios y no con ftp nada más. Un
> >> saludo
> >> >> y
> >> >> gracias por interesarte.
> >> >>
> >> >>
> >> >> > la cosa esta en que no has especificado la configuracion de tu
> >> server,
> >> >> al
> >> >> > parecer solo estas usando una interface, ¿solo lo usas para web?
> >> >> > ¿ cuantas tarjetas tienes de red tienes alli?
> >> >> >
> >> >> > Saludos
> >> >> >
> >> >> >
> >> >> > Aland Laines Calonge
> >> >> > Tecnico en Informatica
> >> >> >
> >> >> >
> >> >> >
> >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández
> >> >> > <maykel en maykel.es>escribió:
> >> >> >
> >> >> >> Gracias por contestar. Entonces lo que no sé es porque me funciona
> >> el
> >> >> >> servidor web tal y como está, ssh tambien me funciona y el samba
> >> >> (puerto
> >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin meter
> >> reglas
> >> >> de
> >> >> >> entrada y salida o es que el ftp se comporta de distinta manera
> >> >> porque
> >> >> >> si
> >> >> >> no, no lo entiendo...
> >> >> >>
> >> >> >>
> >> >> >> > Hola, el problema esta en que cuando tienes las politicas en
> >> drop
> >> >> por
> >> >> >> > defecto, las reglas para abrir un servicio deben ser de entrada
> >> y
> >> >> de
> >> >> >> > salida,
> >> >> >> > algo como:
> >> >> >> >
> >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state
> >> >> --state
> >> >> >> > ESTABLISHED -j ACCEPT
> >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m state
> >> >> --state
> >> >> >> > NEW,ESTABLISHED -j ACCEPT
> >> >> >> > donde $EXTIF es la tarjeta de red que va conectada al router.
> >> >> >> >
> >> >> >> > Saludos,
> >> >> >> >
> >> >> >> > Aland Laines Calonge
> >> >> >> > Tecnico en Informatica
> >> >> >> >
> >> >> >> >
> >> >> >> >
> >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández
> >> >> >> > <maykel en maykel.es>escribió:
> >> >> >> >
> >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de iptables
> >> >> para
> >> >> >> >> servidores y tengo la siguiente configuracion basica:
> >> >> >> >>
> >> >> >> >> #!/bin/bash
> >> >> >> >>
> >> >> >> >> #-s Especifica una direcci�n de origen
> >> >> >> >> #-d Especifica una direcci�n de destino
> >> >> >> >> #-p Especifica un prototocolo
> >> >> >> >> #-i Especifica un interface de entrada
> >> >> >> >> #-o Especifica un interface de salida
> >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete
> >> >> >> >> #--sport Puerto de origen
> >> >> >> >> #--dport Puerto de destino
> >> >> >> >>
> >> >> >> >> #Borrar todas las reglas
> >> >> >> >> iptables -F
> >> >> >> >>
> >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo
> >> >> solicitado
> >> >> >> >> iptables -P INPUT DROP
> >> >> >> >> iptables -P OUTPUT ACCEPT
> >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
> >> ACCEPT
> >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
> >> ACCEPT
> >> >> >> >>
> >> >> >> >> # Permitimos que se conecten a nuestro servidor web.
> >> >> >> >>
> >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j
> >> ACCEPT
> >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT
> >> >> >> >>
> >> >> >> >> # Permitimos la comunicaci�n con el servidor dns
> >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
> >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
> >> >> >> >>
> >> >> >> >> #Permitimos uso de ftp.
> >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT
> >> >> >> >>
> >> >> >> >>
> >> >> >> >>
> >> >> >> >> La politica por defecto es rechazar todo lo que entra menos
> >> para
> >> >> el
> >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente pero
> >> el
> >> >> ftp
> >> >> >> no
> >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e incluso he
> >> >> >> probado
> >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo
> >> menos
> >> >> el
> >> >> >> ftp
> >> >> >> >> que conecta bien pero al final de la conexion se queda colgado
> >> y
> >> >> no
> >> >> >> >> logra
> >> >> >> >> listarme los directorios. Nada más quitar la politica por
> >> defecto
> >> >> de
> >> >> >> que
> >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp correctamente(es
> >> >> decir
> >> >> >> >> que
> >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal?
> >> >> >> >>
> >> >> >> >> _______________________________________________
> >> >> >> >> CentOS-es mailing list
> >> >> >> >> CentOS-es en centos.org
> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> >> >> >>
> >> >> >> > _______________________________________________
> >> >> >> > CentOS-es mailing list
> >> >> >> > CentOS-es en centos.org
> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >> >> >
> >> >> >>
> >> >> >>
> >> >> >> _______________________________________________
> >> >> >> CentOS-es mailing list
> >> >> >> CentOS-es en centos.org
> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> >> >>
> >> >> > _______________________________________________
> >> >> > CentOS-es mailing list
> >> >> > CentOS-es en centos.org
> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >> >
> >> >>
> >> >>
> >> >> _______________________________________________
> >> >> CentOS-es mailing list
> >> >> CentOS-es en centos.org
> >> >> http://lists.centos.org/mailman/listinfo/centos-es
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > Rodrigo Julio Pérez
> >> > Ingeniero en Gestión Informática
> >> >
> >> > "Todo el desorden del mundo proviene de las profesiones mal o
> >> > mediocremente
> >> > servidas" Gabriela Mistral
> >> > _______________________________________________
> >> > CentOS-es mailing list
> >> > CentOS-es en centos.org
> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >
> >>
> >>
> >>
> >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto, estas
> >> lineas que se añaden en algunas configuraciones de iptables para que
> >> sirven??:
> >>
> >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
> >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
> >>
> >> Y si para añadir puertos a servicios utilizo esto:
> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> >>
> >> Porque en algunos lados aparece así??
> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
> >>
> >> Gracias por todo, un saludo.
> >>
> >>
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> >
> >
> > --
> > Rodrigo Julio Pérez
> > Ingeniero en Gestión Informática
> >
> > "Todo el desorden del mundo proviene de las profesiones mal o
> > mediocremente
> > servidas" Gabriela Mistral
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
Rodrigo Julio Pérez
Ingeniero en Gestión Informática
"Todo el desorden del mundo proviene de las profesiones mal o mediocremente
servidas" Gabriela Mistral
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100216/dc417a3e/attachment-0001.html
Más información sobre la lista de distribución CentOS-es