[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?
angel jauregui
darkdiabliyo en gmail.com
Lun Mar 30 17:28:42 UTC 2015
Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a
OUPUT porque sino jamas se abre el puerto.
El 29 de marzo de 2015, 20:56, angel jauregui <darkdiabliyo en gmail.com>
escribió:
> Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
> el firewall los puertos pasan de "open" a "filtered", y no permite conectar
> :(
>
> El SSH si lo tengo abierto, pero lo omiti en mis reglas....
>
> De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
> las reglas no tiran error, pero me deja los puertos filtrados, en fin,
> inaccesible el servicio :(
>
> Saludos !
>
> El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoalas en gmail.com>
> escribió:
>
>> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
>> > jajajajaja la volvi a regar.... hay va de nuez:
>> >
>> > # denegamos todo
>> > iptables -P INPUT DROP # cancelamos
>> entrada
>> > iptables -P OUTPUT DROP # cancelamos
>> salidas
>> > iptables -P FORWARD DROP # cancelamos reencios
>> > iptables -t nat -P PREROUTING DROP # cancelamos nat
>> prerouting
>> > iptables -t nat -P POSTROUTING DROP # cancelamos nat
>> postrouting
>> >
>> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>> reenvio
>> >
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> > 80 -j ACCEPT
>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> > 443 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>
>> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>> acceso, para que no te desplaces hasta el equipo fisico.
>>
>> No esta de mas permitir el acceso por SSH, para administrar el server
>>
>> >
>> > El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo en gmail.com>
>> > escribió:
>> >
>> >> Rayos... se copio y pego doble :S... hay va corregido:
>> >>
>> >> # denegamos todo
>> >> iptables -P INPUT ACCEPT # cancelamos
>> >> entrada
>> >> iptables -P OUTPUT ACCEPT # cancelamos
>> >> salidas
>> >> iptables -P FORWARD ACCEPT # cancelamos reencios
>> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
>> >> prerouting
>> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
>> >> postrouting
>> >>
>> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>> >> reenvio
>> >>
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 80 -j ACCEPT
>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> --dport
>> >> 443 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>
>> >> El 27 de marzo de 2015, 20:36, angel jauregui <darkdiabliyo en gmail.com>
>> >> escribió:
>> >>
>> >> Buen dia lista :D
>> >>>
>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>> >>> cagarla y quedarme sin conexion jejejej :D
>> >>>
>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>> >>> modo
>> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>> >>> checarlas y me den sus criticas:
>> >>>
>> >>> iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT # cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F
>> >>> iptables -X
>> >>> iptables -Z
>> >>> iptables -t nat -F
>> >>>
>> >>> # denegamos todo
>> >>> iptables -P INPUT ACCEPT # cancelamos
>> >>> entrada
>> >>> iptables -P OUTPUT ACCEPT # cancelamos
>> >>> salidas
>> >>> iptables -P FORWARD ACCEPT # cancelamos reencios
>> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
>> >>> prerouting
>> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
>> >>> postrouting
>> >>>
>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>> >>> reenvio
>> >>>
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 80 -j ACCEPT
>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>> >>> --dport
>> >>> 443 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>> >>>
>> >>> Saludos !
>> >>>
>> >>> --
>> >>> M.S.I. Angel Haniel Cantu Jauregui.
>> >>>
>> >>> Celular: (011-52-1)-899-871-17-22
>> >>> E-Mail: angel.cantu en sie-group.net
>> >>> Web: http://www.sie-group.net/
>> >>> Cd. Reynosa Tamaulipas.
>> >>>
>> >>
>> >>
>> >>
>> >> --
>> >> M.S.I. Angel Haniel Cantu Jauregui.
>> >>
>> >> Celular: (011-52-1)-899-871-17-22
>> >> E-Mail: angel.cantu en sie-group.net
>> >> Web: http://www.sie-group.net/
>> >> Cd. Reynosa Tamaulipas.
>> >>
>> >
>> >
>> >
>> > --
>> > M.S.I. Angel Haniel Cantu Jauregui.
>> >
>> > Celular: (011-52-1)-899-871-17-22
>> > E-Mail: angel.cantu en sie-group.net
>> > Web: http://www.sie-group.net/
>> > Cd. Reynosa Tamaulipas.
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > http://lists.centos.org/mailman/listinfo/centos-es
>> >
>>
>>
>> --
>> Saludos,
>> cheperobert
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es