[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?
José Roberto Alas
jrobertoalas en gmail.com
Lun Mar 30 17:43:09 UTC 2015
El 30 de marzo de 2015, 11:28 a. m., angel jauregui
<darkdiabliyo en gmail.com> escribió:
> Vaya, se me hace raro que nadie lo comentara, pero hay que ponerle reglas a
> OUPUT porque sino jamas se abre el puerto.
Si tienes razón.
Lo que pasa que en mi caso tengo algunas configuracion al contrario,
abro todo primero y luego cierro. En esa parte inicial van las
conexiones entrantes y salientes.
>
>
> El 29 de marzo de 2015, 20:56, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
>> el firewall los puertos pasan de "open" a "filtered", y no permite conectar
>> :(
>>
>> El SSH si lo tengo abierto, pero lo omiti en mis reglas....
>>
>> De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
>> las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>> inaccesible el servicio :(
>>
>> Saludos !
>>
>> El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoalas en gmail.com>
>> escribió:
>>
>>> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
>>> > jajajajaja la volvi a regar.... hay va de nuez:
>>> >
>>> > # denegamos todo
>>> > iptables -P INPUT DROP # cancelamos
>>> entrada
>>> > iptables -P OUTPUT DROP # cancelamos
>>> salidas
>>> > iptables -P FORWARD DROP # cancelamos reencios
>>> > iptables -t nat -P PREROUTING DROP # cancelamos nat
>>> prerouting
>>> > iptables -t nat -P POSTROUTING DROP # cancelamos nat
>>> postrouting
>>> >
>>> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>>> reenvio
>>> >
>>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> > 80 -j ACCEPT
>>> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> > 443 -j ACCEPT
>>> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>>
>>> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>>> acceso, para que no te desplaces hasta el equipo fisico.
>>>
>>> No esta de mas permitir el acceso por SSH, para administrar el server
>>>
>>> >
>>> > El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo en gmail.com>
>>> > escribió:
>>> >
>>> >> Rayos... se copio y pego doble :S... hay va corregido:
>>> >>
>>> >> # denegamos todo
>>> >> iptables -P INPUT ACCEPT # cancelamos
>>> >> entrada
>>> >> iptables -P OUTPUT ACCEPT # cancelamos
>>> >> salidas
>>> >> iptables -P FORWARD ACCEPT # cancelamos reencios
>>> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
>>> >> prerouting
>>> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
>>> >> postrouting
>>> >>
>>> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>>> >> reenvio
>>> >>
>>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> 80 -j ACCEPT
>>> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> 443 -j ACCEPT
>>> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >>
>>> >> El 27 de marzo de 2015, 20:36, angel jauregui <darkdiabliyo en gmail.com>
>>> >> escribió:
>>> >>
>>> >> Buen dia lista :D
>>> >>>
>>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo
>>> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero
>>> >>> cagarla y quedarme sin conexion jejejej :D
>>> >>>
>>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
>>> >>> modo
>>> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> >>> checarlas y me den sus criticas:
>>> >>>
>>> >>> iptables -F
>>> >>> iptables -X
>>> >>> iptables -Z
>>> >>> iptables -t nat -F
>>> >>>
>>> >>> # denegamos todo
>>> >>> iptables -P INPUT ACCEPT # cancelamos
>>> >>> entrada
>>> >>> iptables -P OUTPUT ACCEPT # cancelamos
>>> >>> salidas
>>> >>> iptables -P FORWARD ACCEPT # cancelamos reencios
>>> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F
>>> >>> iptables -X
>>> >>> iptables -Z
>>> >>> iptables -t nat -F
>>> >>>
>>> >>> # denegamos todo
>>> >>> iptables -P INPUT ACCEPT # cancelamos
>>> >>> entrada
>>> >>> iptables -P OUTPUT ACCEPT # cancelamos
>>> >>> salidas
>>> >>> iptables -P FORWARD ACCEPT # cancelamos reencios
>>> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
>>> >>> prerouting
>>> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
>>> >>> postrouting
>>> >>>
>>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
>>> >>> reenvio
>>> >>>
>>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >>> --dport
>>> >>> 80 -j ACCEPT
>>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >>> --dport
>>> >>> 443 -j ACCEPT
>>> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >>>
>>> >>> Saludos !
>>> >>>
>>> >>> --
>>> >>> M.S.I. Angel Haniel Cantu Jauregui.
>>> >>>
>>> >>> Celular: (011-52-1)-899-871-17-22
>>> >>> E-Mail: angel.cantu en sie-group.net
>>> >>> Web: http://www.sie-group.net/
>>> >>> Cd. Reynosa Tamaulipas.
>>> >>>
>>> >>
>>> >>
>>> >>
>>> >> --
>>> >> M.S.I. Angel Haniel Cantu Jauregui.
>>> >>
>>> >> Celular: (011-52-1)-899-871-17-22
>>> >> E-Mail: angel.cantu en sie-group.net
>>> >> Web: http://www.sie-group.net/
>>> >> Cd. Reynosa Tamaulipas.
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > M.S.I. Angel Haniel Cantu Jauregui.
>>> >
>>> > Celular: (011-52-1)-899-871-17-22
>>> > E-Mail: angel.cantu en sie-group.net
>>> > Web: http://www.sie-group.net/
>>> > Cd. Reynosa Tamaulipas.
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es en centos.org
>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >
>>>
>>>
>>> --
>>> Saludos,
>>> cheperobert
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
--
Saludos,
cheperobert
Más información sobre la lista de distribución CentOS-es