[CentOS-es] Problema iptables

Maykel Franco Hernández maykel en maykel.es
Mar Feb 16 12:54:59 UTC 2010


Muchisimas gracias por contestarme y aclararme enserio siempre estoy
trabajando e implementando cosas para servidores de correo, servidores
web, mysql, etc, etc pero sin seguridad. Entonces por eso he decidido
familiarizarme con el uso de iptables. Lo único que no me queda claro del
todo es que por ejemplo lo del ftp, que para que funcione no solo hay que
abrir el puerto 20:21 en INPUT si no que además tienes que habilitar los
puertos desde el 20000:65535 por el modo activo/pasivo. O por ejemplo para
un server de correo no vale con agregar:

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT

Para smtp, pop3 e imap(respectivamente) ya que podrás ver el correo y
sacarlo pero a la hora de enviar se queda pillado y no avanza, es decir,
está tirando de otros puertos que no están habilitados debido a la
politica de DROP( para INPUT). Entonces lo que he tenido que hacer es ver
el trafico con iptraf que generaba quitando las reglas y he tenido que
agregar esta linea:

iptables -A INPUT -p tcp --dport 2000:6000 -j ACCEPT

Ya que veia que estaba utilizando más puertos. Me podrías aclarar un poco
esto?? Si no meto el ultimo iptables no podría enviar correo...Gracias
nuevamente de verdad


> Asi es, por que recuerda que iptables al entrar un paquete los compara con
> cada regla (-A), y si encuentra una coincidente hace lo que corresponde y
> no
> sigue mirando mas reglas, entonces, si tienes la regla -A con estado
> ESTABLISHED, RELATED, Aceptada, y es un paquete de una conexcion ya
> establecida, pasa, pero si es nueva sigue mas abajo para hasta encontrar
> la
> que coincide, entonces, si no tuvieras el estado ESTABLISHED, RELATED,
> todas
> serian nuevas, nada mas.
> Recuerda que te dije que eso es hilar mas fino.
>
> Atte.
>
>
>
> El 16 de febrero de 2010 09:42, Maykel Franco Hernández
> <maykel en maykel.es>escribió:
>
>> Gracias nuevamente por contestar, entonces si yo coloco esas lineas de
>> relacionadas y establecidas queden aceptadas y luego le meto reglas y
>> esas
>> reglas que estan por debajo de las relacionadas y establecidas al ser
>> nuevas se transforman en establecidas y relacionadas??? Un saludo. Esto
>> me
>> provoca confusión ya que en algunos manuales vienen y en otros ni lo
>> mencionan por eso me reparo en esto
>>
>>
>> > Tu te has contestado, primero estableces la politica -P DROP
>> > luegos abres lo que quieres abrir, si colocas que las entradas
>> > establecidas
>> > y relacionadas queden aceptadas. mas abajo colocas que las que son
>> nuevas
>> > entren, por lo tanto esas nuevas luego se trasnforman en establecidas
>> y
>> > relacionedas,
>> >
>> > Eso.
>> > Saludos
>> >
>> >
>> >
>> >
>> > El 16 de febrero de 2010 09:24, Maykel Franco Hernández
>> > <maykel en maykel.es>escribió:
>> >
>> >> Gracias por contestar pero si por ejemplo mi politica para INPUT es
>> >> denegar todo hasta que yo no lo habilite. Que pintan esas reglas
>> ahí??
>> >> Porque si habilito lo que yo quiera es porque yo quiero. Lo que me
>> >> quiero
>> >> referir con esto es si quitando esas lineas tambien funcionaría todo.
>> >>
>> >>
>> >> > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >
>> >> > Eso es para acceptar las conexiones ya establecidas o relacionadas.
>> >> >
>> >> > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>> >> >
>> >> > y eso es lo mismo que
>> >> >
>> >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>> >> >
>> >> > solo que hilando mas fino. y para puertos de destino (dport).
>> >> >
>> >> > Saludos
>> >> >
>> >> > El 16 de febrero de 2010 03:54, Maykel Franco Hernández
>> >> > <maykel en maykel.es>escribió:
>> >> >
>> >> >>  > Estimado, seguramente tienes activado tu server ftp para
>> >> conexiones
>> >> >> > pasivas,
>> >> >> > por lo tanto debes abrir los puertos altos en el firewall...
>> echale
>> >> un
>> >> >> > vistazo a esto, a mi me soluciono el problema.
>> >> >> >
>> >> >> >
>> >> >>
>> >>
>> http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables
>> >> >> >
>> >> >> > Saludos desde Chile.
>> >> >> >
>> >> >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández
>> >> >> > <maykel en maykel.es>escribió:
>> >> >> >
>> >> >> >> Si te comento, solo uso una interface y el iptables está enel
>> >> propio
>> >> >> >> servidor, es decir, no hay un servidor entre la red local y el
>> >> router
>> >> >> >> que
>> >> >> >> funciona como firewall. La idea es aprender simplemente, y
>> tengo
>> >> un
>> >> >> >> servidor web, ssh, samba y ftp. Y la configuracion que he
>> dejado
>> >> me
>> >> >> >> funciona todo menos el ftp que se que hace el intento de
>> >> conectarse
>> >> >> bien
>> >> >> >> pero se queda en la parte final y no lista el directorio y mi
>> >> >> consulta
>> >> >> >> era
>> >> >> >> esa porque funciona con esos servicios y no con ftp nada más.
>> Un
>> >> >> saludo
>> >> >> >> y
>> >> >> >> gracias por interesarte.
>> >> >> >>
>> >> >> >>
>> >> >> >> > la cosa esta en que no has especificado la configuracion de
>> tu
>> >> >> server,
>> >> >> >> al
>> >> >> >> > parecer solo estas usando una interface, ¿solo lo usas para
>> web?
>> >> >> >> > ¿ cuantas tarjetas tienes de red tienes alli?
>> >> >> >> >
>> >> >> >> > Saludos
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > Aland Laines Calonge
>> >> >> >> > Tecnico en Informatica
>> >> >> >> >
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández
>> >> >> >> > <maykel en maykel.es>escribió:
>> >> >> >> >
>> >> >> >> >> Gracias por contestar. Entonces lo que no sé es porque me
>> >> funciona
>> >> >> el
>> >> >> >> >> servidor web tal y como está, ssh tambien me funciona y el
>> >> samba
>> >> >> >> (puerto
>> >> >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin
>> meter
>> >> >> reglas
>> >> >> >> de
>> >> >> >> >> entrada y salida o es que el ftp se comporta de distinta
>> manera
>> >> >> >> porque
>> >> >> >> >> si
>> >> >> >> >> no, no lo entiendo...
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> > Hola, el problema esta en que cuando tienes las politicas
>> en
>> >> >> drop
>> >> >> >> por
>> >> >> >> >> > defecto, las reglas para abrir un servicio deben ser de
>> >> entrada
>> >> >> y
>> >> >> >> de
>> >> >> >> >> > salida,
>> >> >> >> >> > algo como:
>> >> >> >> >> >
>> >> >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m
>> state
>> >> >> >> --state
>> >> >> >> >> > ESTABLISHED -j ACCEPT
>> >> >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m
>> state
>> >> >> >> --state
>> >> >> >> >> > NEW,ESTABLISHED -j ACCEPT
>> >> >> >> >> > donde $EXTIF  es la tarjeta de red que va conectada al
>> >> router.
>> >> >> >> >> >
>> >> >> >> >> > Saludos,
>> >> >> >> >> >
>> >> >> >> >> > Aland Laines Calonge
>> >> >> >> >> > Tecnico en Informatica
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández
>> >> >> >> >> > <maykel en maykel.es>escribió:
>> >> >> >> >> >
>> >> >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de
>> >> iptables
>> >> >> >> para
>> >> >> >> >> >> servidores y tengo la siguiente configuracion basica:
>> >> >> >> >> >>
>> >> >> >> >> >> #!/bin/bash
>> >> >> >> >> >>
>> >> >> >> >> >> #-s Especifica una direcci�n de origen
>> >> >> >> >> >> #-d Especifica una direcci�n de destino
>> >> >> >> >> >> #-p Especifica un prototocolo
>> >> >> >> >> >> #-i Especifica un interface de entrada
>> >> >> >> >> >> #-o Especifica un interface de salida
>> >> >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete
>> >> >> >> >> >> #--sport Puerto de origen
>> >> >> >> >> >> #--dport Puerto de destino
>> >> >> >> >> >>
>> >> >> >> >> >> #Borrar todas las reglas
>> >> >> >> >> >> iptables -F
>> >> >> >> >> >>
>> >> >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo
>> >> >> >> solicitado
>> >> >> >> >> >> iptables -P INPUT DROP
>> >> >> >> >> >> iptables -P OUTPUT ACCEPT
>> >> >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
>> >> >> ACCEPT
>> >> >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED
>> -j
>> >> >> ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> # Permitimos que se conecten a nuestro servidor web.
>> >> >> >> >> >>
>> >> >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80
>> -j
>> >> >> ACCEPT
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> # Permitimos la comunicaci�n con el servidor dns
>> >> >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> #Permitimos uso de ftp.
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> La politica por defecto es rechazar todo lo que entra
>> menos
>> >> >> para
>> >> >> >> el
>> >> >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente
>> >> pero
>> >> >> el
>> >> >> >> ftp
>> >> >> >> >> no
>> >> >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e
>> incluso
>> >> he
>> >> >> >> >> probado
>> >> >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona
>> todo
>> >> >> menos
>> >> >> >> el
>> >> >> >> >> ftp
>> >> >> >> >> >> que conecta bien pero al final de la conexion se queda
>> >> colgado
>> >> >> y
>> >> >> >> no
>> >> >> >> >> >> logra
>> >> >> >> >> >> listarme los directorios. Nada más quitar la politica por
>> >> >> defecto
>> >> >> >> de
>> >> >> >> >> que
>> >> >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp
>> >> correctamente(es
>> >> >> >> decir
>> >> >> >> >> >> que
>> >> >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal?
>> >> >> >> >> >>
>> >> >> >> >> >> _______________________________________________
>> >> >> >> >> >> CentOS-es mailing list
>> >> >> >> >> >> CentOS-es en centos.org
>> >> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >> >>
>> >> >> >> >> > _______________________________________________
>> >> >> >> >> > CentOS-es mailing list
>> >> >> >> >> > CentOS-es en centos.org
>> >> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >> >
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> _______________________________________________
>> >> >> >> >> CentOS-es mailing list
>> >> >> >> >> CentOS-es en centos.org
>> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >>
>> >> >> >> > _______________________________________________
>> >> >> >> > CentOS-es mailing list
>> >> >> >> > CentOS-es en centos.org
>> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >
>> >> >> >>
>> >> >> >>
>> >> >> >> _______________________________________________
>> >> >> >> CentOS-es mailing list
>> >> >> >> CentOS-es en centos.org
>> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >>
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> > --
>> >> >> > Rodrigo Julio Pérez
>> >> >> > Ingeniero en Gestión Informática
>> >> >> >
>> >> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>> >> >> > mediocremente
>> >> >> > servidas" Gabriela Mistral
>> >> >> > _______________________________________________
>> >> >> > CentOS-es mailing list
>> >> >> > CentOS-es en centos.org
>> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >
>> >> >>
>> >> >>
>> >> >>
>> >> >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto,
>> >> estas
>> >> >> lineas que se añaden en algunas configuraciones de iptables para
>> que
>> >> >> sirven??:
>> >> >>
>> >> >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >>
>> >> >> Y si para añadir puertos a servicios utilizo esto:
>> >> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>> >> >>
>> >> >> Porque en algunos lados aparece así??
>> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>> >> >>
>> >> >> Gracias por todo, un saludo.
>> >> >>
>> >> >>
>> >> >> _______________________________________________
>> >> >> CentOS-es mailing list
>> >> >> CentOS-es en centos.org
>> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > Rodrigo Julio Pérez
>> >> > Ingeniero en Gestión Informática
>> >> >
>> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>> >> > mediocremente
>> >> > servidas" Gabriela Mistral
>> >> > _______________________________________________
>> >> > CentOS-es mailing list
>> >> > CentOS-es en centos.org
>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >
>> >>
>> >>
>> >> _______________________________________________
>> >> CentOS-es mailing list
>> >> CentOS-es en centos.org
>> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >>
>> >
>> >
>> >
>> > --
>> > Rodrigo Julio Pérez
>> > Ingeniero en Gestión Informática
>> >
>> > "Todo el desorden del mundo proviene de las profesiones mal o
>> > mediocremente
>> > servidas" Gabriela Mistral
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> Rodrigo Julio Pérez
> Ingeniero en Gestión Informática
>
> "Todo el desorden del mundo proviene de las profesiones mal o
> mediocremente
> servidas" Gabriela Mistral
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>




Más información sobre la lista de distribución CentOS-es