[CentOS-es] Problema iptables
Rodrigo Julio P�rez
rjulio en gmail.com
Mar Feb 16 13:05:43 UTC 2010
Algo muy importante, cuando tienes la politica en DROP, nada entra y nada
SALE sin tu permiso, por lo tanto si abres puertos de destino, tambien debes
abrir puertos de origen. Tomando tus lineas
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
entonces tambien agregas
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
o sea de entrada y salida
Revisa esto y te quedarà mas claro.
http://crucible.wordpress.com/2007/10/02/firewall-con-iptables-con-drop-como-politica-por-defecto/
Saludos desde Chile.
El 16 de febrero de 2010 09:48, Rodrigo Julio P�rez <rjulio en gmail.com>escribió:
> Asi es, por que recuerda que iptables al entrar un paquete los compara con
> cada regla (-A), y si encuentra una coincidente hace lo que corresponde y no
> sigue mirando mas reglas, entonces, si tienes la regla -A con estado
> ESTABLISHED, RELATED, Aceptada, y es un paquete de una conexcion ya
> establecida, pasa, pero si es nueva sigue mas abajo para hasta encontrar la
> que coincide, entonces, si no tuvieras el estado ESTABLISHED, RELATED, todas
> serian nuevas, nada mas.
> Recuerda que te dije que eso es hilar mas fino.
>
> Atte.
>
>
>
> El 16 de febrero de 2010 09:42, Maykel Franco Hernández <maykel en maykel.es>escribió:
>
> Gracias nuevamente por contestar, entonces si yo coloco esas lineas de
>> relacionadas y establecidas queden aceptadas y luego le meto reglas y esas
>> reglas que estan por debajo de las relacionadas y establecidas al ser
>> nuevas se transforman en establecidas y relacionadas??? Un saludo. Esto me
>> provoca confusión ya que en algunos manuales vienen y en otros ni lo
>> mencionan por eso me reparo en esto
>>
>>
>> > Tu te has contestado, primero estableces la politica -P DROP
>> > luegos abres lo que quieres abrir, si colocas que las entradas
>> > establecidas
>> > y relacionadas queden aceptadas. mas abajo colocas que las que son
>> nuevas
>> > entren, por lo tanto esas nuevas luego se trasnforman en establecidas y
>> > relacionedas,
>> >
>> > Eso.
>> > Saludos
>> >
>> >
>> >
>> >
>> > El 16 de febrero de 2010 09:24, Maykel Franco Hernández
>> > <maykel en maykel.es>escribió:
>> >
>> >> Gracias por contestar pero si por ejemplo mi politica para INPUT es
>> >> denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahÃ??
>> >> Porque si habilito lo que yo quiera es porque yo quiero. Lo que me
>> >> quiero
>> >> referir con esto es si quitando esas lineas tambien funcionarÃa todo.
>> >>
>> >>
>> >> > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >
>> >> > Eso es para acceptar las conexiones ya establecidas o relacionadas.
>> >> >
>> >> > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>> >> >
>> >> > y eso es lo mismo que
>> >> >
>> >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>> >> >
>> >> > solo que hilando mas fino. y para puertos de destino (dport).
>> >> >
>> >> > Saludos
>> >> >
>> >> > El 16 de febrero de 2010 03:54, Maykel Franco Hernández
>> >> > <maykel en maykel.es>escribió:
>> >> >
>> >> >> > Estimado, seguramente tienes activado tu server ftp para
>> >> conexiones
>> >> >> > pasivas,
>> >> >> > por lo tanto debes abrir los puertos altos en el firewall...
>> echale
>> >> un
>> >> >> > vistazo a esto, a mi me soluciono el problema.
>> >> >> >
>> >> >> >
>> >> >>
>> >>
>> http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables
>> >> >> >
>> >> >> > Saludos desde Chile.
>> >> >> >
>> >> >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández
>> >> >> > <maykel en maykel.es>escribió:
>> >> >> >
>> >> >> >> Si te comento, solo uso una interface y el iptables está enel
>> >> propio
>> >> >> >> servidor, es decir, no hay un servidor entre la red local y el
>> >> router
>> >> >> >> que
>> >> >> >> funciona como firewall. La idea es aprender simplemente, y tengo
>> >> un
>> >> >> >> servidor web, ssh, samba y ftp. Y la configuracion que he dejado
>> >> me
>> >> >> >> funciona todo menos el ftp que se que hace el intento de
>> >> conectarse
>> >> >> bien
>> >> >> >> pero se queda en la parte final y no lista el directorio y mi
>> >> >> consulta
>> >> >> >> era
>> >> >> >> esa porque funciona con esos servicios y no con ftp nada más. Un
>> >> >> saludo
>> >> >> >> y
>> >> >> >> gracias por interesarte.
>> >> >> >>
>> >> >> >>
>> >> >> >> > la cosa esta en que no has especificado la configuracion de tu
>> >> >> server,
>> >> >> >> al
>> >> >> >> > parecer solo estas usando una interface, ¿solo lo usas para
>> web?
>> >> >> >> > ¿ cuantas tarjetas tienes de red tienes alli?
>> >> >> >> >
>> >> >> >> > Saludos
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > Aland Laines Calonge
>> >> >> >> > Tecnico en Informatica
>> >> >> >> >
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández
>> >> >> >> > <maykel en maykel.es>escribió:
>> >> >> >> >
>> >> >> >> >> Gracias por contestar. Entonces lo que no sé es porque me
>> >> funciona
>> >> >> el
>> >> >> >> >> servidor web tal y como está, ssh tambien me funciona y el
>> >> samba
>> >> >> >> (puerto
>> >> >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin meter
>> >> >> reglas
>> >> >> >> de
>> >> >> >> >> entrada y salida o es que el ftp se comporta de distinta
>> manera
>> >> >> >> porque
>> >> >> >> >> si
>> >> >> >> >> no, no lo entiendo...
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> > Hola, el problema esta en que cuando tienes las politicas en
>> >> >> drop
>> >> >> >> por
>> >> >> >> >> > defecto, las reglas para abrir un servicio deben ser de
>> >> entrada
>> >> >> y
>> >> >> >> de
>> >> >> >> >> > salida,
>> >> >> >> >> > algo como:
>> >> >> >> >> >
>> >> >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state
>> >> >> >> --state
>> >> >> >> >> > ESTABLISHED -j ACCEPT
>> >> >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m
>> state
>> >> >> >> --state
>> >> >> >> >> > NEW,ESTABLISHED -j ACCEPT
>> >> >> >> >> > donde $EXTIF es la tarjeta de red que va conectada al
>> >> router.
>> >> >> >> >> >
>> >> >> >> >> > Saludos,
>> >> >> >> >> >
>> >> >> >> >> > Aland Laines Calonge
>> >> >> >> >> > Tecnico en Informatica
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández
>> >> >> >> >> > <maykel en maykel.es>escribió:
>> >> >> >> >> >
>> >> >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de
>> >> iptables
>> >> >> >> para
>> >> >> >> >> >> servidores y tengo la siguiente configuracion basica:
>> >> >> >> >> >>
>> >> >> >> >> >> #!/bin/bash
>> >> >> >> >> >>
>> >> >> >> >> >> #-s Especifica una direcci�n de origen
>> >> >> >> >> >> #-d Especifica una direcci�n de destino
>> >> >> >> >> >> #-p Especifica un prototocolo
>> >> >> >> >> >> #-i Especifica un interface de entrada
>> >> >> >> >> >> #-o Especifica un interface de salida
>> >> >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete
>> >> >> >> >> >> #--sport Puerto de origen
>> >> >> >> >> >> #--dport Puerto de destino
>> >> >> >> >> >>
>> >> >> >> >> >> #Borrar todas las reglas
>> >> >> >> >> >> iptables -F
>> >> >> >> >> >>
>> >> >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo
>> >> >> >> solicitado
>> >> >> >> >> >> iptables -P INPUT DROP
>> >> >> >> >> >> iptables -P OUTPUT ACCEPT
>> >> >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j
>> >> >> ACCEPT
>> >> >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j
>> >> >> ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> # Permitimos que se conecten a nuestro servidor web.
>> >> >> >> >> >>
>> >> >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j
>> >> >> ACCEPT
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> # Permitimos la comunicaci�n con el servidor dns
>> >> >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >> #Permitimos uso de ftp.
>> >> >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> La politica por defecto es rechazar todo lo que entra menos
>> >> >> para
>> >> >> >> el
>> >> >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente
>> >> pero
>> >> >> el
>> >> >> >> ftp
>> >> >> >> >> no
>> >> >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e incluso
>> >> he
>> >> >> >> >> probado
>> >> >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo
>> >> >> menos
>> >> >> >> el
>> >> >> >> >> ftp
>> >> >> >> >> >> que conecta bien pero al final de la conexion se queda
>> >> colgado
>> >> >> y
>> >> >> >> no
>> >> >> >> >> >> logra
>> >> >> >> >> >> listarme los directorios. Nada más quitar la politica por
>> >> >> defecto
>> >> >> >> de
>> >> >> >> >> que
>> >> >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp
>> >> correctamente(es
>> >> >> >> decir
>> >> >> >> >> >> que
>> >> >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal?
>> >> >> >> >> >>
>> >> >> >> >> >> _______________________________________________
>> >> >> >> >> >> CentOS-es mailing list
>> >> >> >> >> >> CentOS-es en centos.org
>> >> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >> >>
>> >> >> >> >> > _______________________________________________
>> >> >> >> >> > CentOS-es mailing list
>> >> >> >> >> > CentOS-es en centos.org
>> >> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >> >
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> _______________________________________________
>> >> >> >> >> CentOS-es mailing list
>> >> >> >> >> CentOS-es en centos.org
>> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >>
>> >> >> >> > _______________________________________________
>> >> >> >> > CentOS-es mailing list
>> >> >> >> > CentOS-es en centos.org
>> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >> >
>> >> >> >>
>> >> >> >>
>> >> >> >> _______________________________________________
>> >> >> >> CentOS-es mailing list
>> >> >> >> CentOS-es en centos.org
>> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >>
>> >> >> >
>> >> >> >
>> >> >> >
>> >> >> > --
>> >> >> > Rodrigo Julio Pérez
>> >> >> > Ingeniero en Gestión Informática
>> >> >> >
>> >> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>> >> >> > mediocremente
>> >> >> > servidas" Gabriela Mistral
>> >> >> > _______________________________________________
>> >> >> > CentOS-es mailing list
>> >> >> > CentOS-es en centos.org
>> >> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >> >
>> >> >>
>> >> >>
>> >> >>
>> >> >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto,
>> >> estas
>> >> >> lineas que se añaden en algunas configuraciones de iptables para que
>> >> >> sirven??:
>> >> >>
>> >> >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> >> >>
>> >> >> Y si para añadir puertos a servicios utilizo esto:
>> >> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>> >> >>
>> >> >> Porque en algunos lados aparece asÃ??
>> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>> >> >>
>> >> >> Gracias por todo, un saludo.
>> >> >>
>> >> >>
>> >> >> _______________________________________________
>> >> >> CentOS-es mailing list
>> >> >> CentOS-es en centos.org
>> >> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > Rodrigo Julio Pérez
>> >> > Ingeniero en Gestión Informática
>> >> >
>> >> > "Todo el desorden del mundo proviene de las profesiones mal o
>> >> > mediocremente
>> >> > servidas" Gabriela Mistral
>> >> > _______________________________________________
>> >> > CentOS-es mailing list
>> >> > CentOS-es en centos.org
>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>> >> >
>> >>
>> >>
>> >> _______________________________________________
>> >> CentOS-es mailing list
>> >> CentOS-es en centos.org
>> >> http://lists.centos.org/mailman/listinfo/centos-es
>> >>
>> >
>> >
>> >
>> > --
>> > Rodrigo Julio Pérez
>> > Ingeniero en Gestión Informática
>> >
>> > "Todo el desorden del mundo proviene de las profesiones mal o
>> > mediocremente
>> > servidas" Gabriela Mistral
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> Rodrigo Julio Pérez
> Ingeniero en Gestión Informática
>
> "Todo el desorden del mundo proviene de las profesiones mal o mediocremente
> servidas" Gabriela Mistral
>
--
Rodrigo Julio Pérez
Ingeniero en Gestión Informática
"Todo el desorden del mundo proviene de las profesiones mal o mediocremente
servidas" Gabriela Mistral
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100216/3ef99533/attachment-0001.html
Más información sobre la lista de distribución CentOS-es