[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?
angel jauregui
darkdiabliyo en gmail.com
Lun Mar 30 18:01:35 UTC 2015
La regla que hice para evitar problemas es que la politica OUTPUT sea
ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
reglas tambien para conexion de adentor hacia afuera.
Vere el link :D
Saludos !
El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoalas en gmail.com>
escribió:
> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
> <darkdiabliyo en gmail.com> escribió:
> > Pues para empezar visiblemente las reglas estan bien, pero cuando levanto
> > el firewall los puertos pasan de "open" a "filtered", y no permite
> conectar
>
> Muy interesante esta explicación, espero te sirva
>
> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>
> > :(
> >
> > El SSH si lo tengo abierto, pero lo omiti en mis reglas....
> >
> > De momento estoy haciendo pruebas en una *VirtualBox* y como les comente,
> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
> > inaccesible el servicio :(
> >
> > Saludos !
> >
> > El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoalas en gmail.com
> >
> > escribió:
> >
> >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
> >> > jajajajaja la volvi a regar.... hay va de nuez:
> >> >
> >> > # denegamos todo
> >> > iptables -P INPUT DROP # cancelamos
> >> entrada
> >> > iptables -P OUTPUT DROP # cancelamos
> >> salidas
> >> > iptables -P FORWARD DROP # cancelamos reencios
> >> > iptables -t nat -P PREROUTING DROP # cancelamos nat
> prerouting
> >> > iptables -t nat -P POSTROUTING DROP # cancelamos nat
> >> postrouting
> >> >
> >> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
> >> reenvio
> >> >
> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> > 80 -j ACCEPT
> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> --dport
> >> > 443 -j ACCEPT
> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >>
> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
> >> acceso, para que no te desplaces hasta el equipo fisico.
> >>
> >> No esta de mas permitir el acceso por SSH, para administrar el server
> >>
> >> >
> >> > El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabliyo en gmail.com
> >
> >> > escribió:
> >> >
> >> >> Rayos... se copio y pego doble :S... hay va corregido:
> >> >>
> >> >> # denegamos todo
> >> >> iptables -P INPUT ACCEPT # cancelamos
> >> >> entrada
> >> >> iptables -P OUTPUT ACCEPT # cancelamos
> >> >> salidas
> >> >> iptables -P FORWARD ACCEPT # cancelamos reencios
> >> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
> >> >> prerouting
> >> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
> >> >> postrouting
> >> >>
> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
> >> >> reenvio
> >> >>
> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> --dport
> >> >> 80 -j ACCEPT
> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> --dport
> >> >> 443 -j ACCEPT
> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >> >>
> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
> darkdiabliyo en gmail.com>
> >> >> escribió:
> >> >>
> >> >> Buen dia lista :D
> >> >>>
> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
> solo
> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
> quiero
> >> >>> cagarla y quedarme sin conexion jejejej :D
> >> >>>
> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de
> >> >>> modo
> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
> >> >>> checarlas y me den sus criticas:
> >> >>>
> >> >>> iptables -F
> >> >>> iptables -X
> >> >>> iptables -Z
> >> >>> iptables -t nat -F
> >> >>>
> >> >>> # denegamos todo
> >> >>> iptables -P INPUT ACCEPT # cancelamos
> >> >>> entrada
> >> >>> iptables -P OUTPUT ACCEPT # cancelamos
> >> >>> salidas
> >> >>> iptables -P FORWARD ACCEPT # cancelamos
> reencios
> >> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F
> >> >>> iptables -X
> >> >>> iptables -Z
> >> >>> iptables -t nat -F
> >> >>>
> >> >>> # denegamos todo
> >> >>> iptables -P INPUT ACCEPT # cancelamos
> >> >>> entrada
> >> >>> iptables -P OUTPUT ACCEPT # cancelamos
> >> >>> salidas
> >> >>> iptables -P FORWARD ACCEPT # cancelamos
> reencios
> >> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat
> >> >>> prerouting
> >> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat
> >> >>> postrouting
> >> >>>
> >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de
> >> >>> reenvio
> >> >>>
> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> >>> --dport
> >> >>> 80 -j ACCEPT
> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
> >> >>> --dport
> >> >>> 443 -j ACCEPT
> >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
> >> >>>
> >> >>> Saludos !
> >> >>>
> >> >>> --
> >> >>> M.S.I. Angel Haniel Cantu Jauregui.
> >> >>>
> >> >>> Celular: (011-52-1)-899-871-17-22
> >> >>> E-Mail: angel.cantu en sie-group.net
> >> >>> Web: http://www.sie-group.net/
> >> >>> Cd. Reynosa Tamaulipas.
> >> >>>
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> M.S.I. Angel Haniel Cantu Jauregui.
> >> >>
> >> >> Celular: (011-52-1)-899-871-17-22
> >> >> E-Mail: angel.cantu en sie-group.net
> >> >> Web: http://www.sie-group.net/
> >> >> Cd. Reynosa Tamaulipas.
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > M.S.I. Angel Haniel Cantu Jauregui.
> >> >
> >> > Celular: (011-52-1)-899-871-17-22
> >> > E-Mail: angel.cantu en sie-group.net
> >> > Web: http://www.sie-group.net/
> >> > Cd. Reynosa Tamaulipas.
> >> > _______________________________________________
> >> > CentOS-es mailing list
> >> > CentOS-es en centos.org
> >> > http://lists.centos.org/mailman/listinfo/centos-es
> >> >
> >>
> >>
> >> --
> >> Saludos,
> >> cheperobert
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
>
>
>
> --
> Saludos,
> cheperobert
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es