[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

José Roberto Alas jrobertoalas en gmail.com
Sab Mar 28 23:15:08 UTC 2015


2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
> jajajajaja la volvi a regar.... hay va de nuez:
>
> # denegamos todo
> iptables -P INPUT DROP                                # cancelamos entrada
> iptables -P OUTPUT DROP                               # cancelamos salidas
> iptables -P FORWARD DROP                      # cancelamos reencios
> iptables -t nat -P PREROUTING DROP            # cancelamos nat prerouting
> iptables -t nat -P POSTROUTING DROP           # cancelamos nat postrouting
>
> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de reenvio
>
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 80 -j ACCEPT
> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> 443 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Pues se ve que esta bien, pero dale permisos a una IP para que tenga
acceso, para que no te desplaces hasta el equipo fisico.

No esta de mas permitir el acceso por SSH, para administrar el server

>
> El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> Rayos... se copio y pego doble :S... hay va corregido:
>>
>> # denegamos todo
>> iptables -P INPUT ACCEPT                                # cancelamos
>> entrada
>> iptables -P OUTPUT ACCEPT                               # cancelamos
>> salidas
>> iptables -P FORWARD ACCEPT                      # cancelamos reencios
>> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>> prerouting
>> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>> postrouting
>>
>> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>> reenvio
>>
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 80 -j ACCEPT
>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
>> 443 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> El 27 de marzo de 2015, 20:36, angel jauregui <darkdiabliyo en gmail.com>
>> escribió:
>>
>> Buen dia lista :D
>>>
>>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>>> cagarla y quedarme sin conexion jejejej :D
>>>
>>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>>> modo
>>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> checarlas y me den sus criticas:
>>>
>>> iptables -F
>>> iptables -X
>>> iptables -Z
>>> iptables -t nat -F
>>>
>>> # denegamos todo
>>> iptables -P INPUT ACCEPT                                # cancelamos
>>> entrada
>>> iptables -P OUTPUT ACCEPT                               # cancelamos
>>> salidas
>>> iptables -P FORWARD ACCEPT                      # cancelamos reencios
>>> iptables -t nat -P PREROUTING ACCEPT            #iptables -F
>>> iptables -X
>>> iptables -Z
>>> iptables -t nat -F
>>>
>>> # denegamos todo
>>> iptables -P INPUT ACCEPT                                # cancelamos
>>> entrada
>>> iptables -P OUTPUT ACCEPT                               # cancelamos
>>> salidas
>>> iptables -P FORWARD ACCEPT                      # cancelamos reencios
>>> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>>> prerouting
>>> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>>> postrouting
>>>
>>> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>>> reenvio
>>>
>>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> 80 -j ACCEPT
>>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> 443 -j ACCEPT
>>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>>
>>> Saludos !
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


-- 
Saludos,
cheperobert


Más información sobre la lista de distribución CentOS-es