[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

angel jauregui darkdiabliyo en gmail.com
Lun Mar 30 01:56:18 UTC 2015 

Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
el firewall los puertos pasan de "open" a "filtered", y no permite conectar
:(

El SSH si lo tengo abierto, pero lo omiti en mis reglas....

De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
las reglas no tiran error, pero me deja los puertos filtrados, en fin,
inaccesible el servicio :(

Saludos !

El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoalas en gmail.com>
escribió:

> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
> > jajajajaja la volvi a regar.... hay va de nuez:
> >
> > # denegamos todo
> > iptables -P INPUT DROP                                # cancelamos
> entrada
> > iptables -P OUTPUT DROP                               # cancelamos
> salidas
> > iptables -P FORWARD DROP                      # cancelamos reencios
> > iptables -t nat -P PREROUTING DROP            # cancelamos nat prerouting
> > iptables -t nat -P POSTROUTING DROP           # cancelamos nat
> postrouting
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
> reenvio
> >
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 80 -j ACCEPT
> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport
> > 443 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>
> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
> acceso, para que no te desplaces hasta el equipo fisico.
>
> No esta de mas permitir el acceso por SSH, para administrar el server
>
> >
> > El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo en gmail.com>
> > escribió:
> >
> >> Rayos... se copio y pego doble :S... hay va corregido:
> >>
> >> # denegamos todo
> >> iptables -P INPUT ACCEPT                                # cancelamos
> >> entrada
> >> iptables -P OUTPUT ACCEPT                               # cancelamos
> >> salidas
> >> iptables -P FORWARD ACCEPT                      # cancelamos reencios
> >> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
> >> prerouting
> >> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
> >> postrouting
> >>
> >> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
> >> reenvio
> >>
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 80 -j ACCEPT
> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> 443 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>
> >> El 27 de marzo de 2015, 20:36, angel jauregui <darkdiabliyo en gmail.com>
> >> escribió:
> >>
> >> Buen dia lista :D
> >>>
> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
> >>> cagarla y quedarme sin conexion jejejej :D
> >>>
> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
> >>> modo
> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
> >>> checarlas y me den sus criticas:
> >>>
> >>> iptables -F
> >>> iptables -X
> >>> iptables -Z
> >>> iptables -t nat -F
> >>>
> >>> # denegamos todo
> >>> iptables -P INPUT ACCEPT                                # cancelamos
> >>> entrada
> >>> iptables -P OUTPUT ACCEPT                               # cancelamos
> >>> salidas
> >>> iptables -P FORWARD ACCEPT                      # cancelamos reencios
> >>> iptables -t nat -P PREROUTING ACCEPT            #iptables -F
> >>> iptables -X
> >>> iptables -Z
> >>> iptables -t nat -F
> >>>
> >>> # denegamos todo
> >>> iptables -P INPUT ACCEPT                                # cancelamos
> >>> entrada
> >>> iptables -P OUTPUT ACCEPT                               # cancelamos
> >>> salidas
> >>> iptables -P FORWARD ACCEPT                      # cancelamos reencios
> >>> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
> >>> prerouting
> >>> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
> >>> postrouting
> >>>
> >>> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
> >>> reenvio
> >>>
> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >>> --dport
> >>> 80 -j ACCEPT
> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >>> --dport
> >>> 443 -j ACCEPT
> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>>
> >>> Saludos !
> >>>
> >>> --
> >>> M.S.I. Angel Haniel Cantu Jauregui.
> >>>
> >>> Celular: (011-52-1)-899-871-17-22
> >>> E-Mail: angel.cantu en sie-group.net
> >>> Web: http://www.sie-group.net/
> >>> Cd. Reynosa Tamaulipas.
> >>>
> >>
> >>
> >>
> >> --
> >> M.S.I. Angel Haniel Cantu Jauregui.
> >>
> >> Celular: (011-52-1)-899-871-17-22
> >> E-Mail: angel.cantu en sie-group.net
> >> Web: http://www.sie-group.net/
> >> Cd. Reynosa Tamaulipas.
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
> --
> Saludos,
> cheperobert
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.

Más información sobre la lista de distribución CentOS-es