[CentOS-es] [IPTables] Opinion sobre un Firewall con DROP por defecto ?

angel jauregui darkdiabliyo en gmail.com
Lun Mar 30 23:34:01 UTC 2015


Otro problema...

Es que si reiniciar el firewall, debes volver a mencionar las politicas
INPUT, FORWARD y OUTPUT, cambiandolas a ACCEPT, sino solamente estas
vaciando iptables pero las politicas se quedan tal cual..

Saludos !

El 30 de marzo de 2015, 13:02, angel jauregui <darkdiabliyo en gmail.com>
escribió:

> Solucionado:
>
> iptables -A INPUT -s MI.ip -p tcp -j ACCEPT
> iptables -A INPUT -s MI.ip -p udp -j ACCEPT
> iptables -A INPUT -s MI.ip -p icmp -j ACCEPT
>
> Ya puedo consultar de mi server hacia afuera...
>
> Saludos !
>
> El 30 de marzo de 2015, 13:01, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> La regla que hice para evitar problemas es que la politica OUTPUT sea
>> ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos
>> tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
>>
>> Pero OJO, veo que el server jala todo bien, el problema que veo ahora es
>> DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer
>> reglas tambien para conexion de adentor hacia afuera.
>>
>> Vere el link :D
>>
>> Saludos !
>>
>> El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoalas en gmail.com>
>> escribió:
>>
>>> El 29 de marzo de 2015, 7:56 p. m., angel jauregui
>>> <darkdiabliyo en gmail.com> escribió:
>>> > Pues para empezar visiblemente las reglas estan bien, pero cuando
>>> levanto
>>> > el firewall los puertos pasan de "open" a "filtered", y no permite
>>> conectar
>>>
>>> Muy interesante esta explicación, espero te sirva
>>>
>>> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap
>>>
>>> > :(
>>> >
>>> > El SSH si lo tengo abierto, pero lo omiti en mis reglas....
>>> >
>>> > De momento estoy haciendo pruebas en una *VirtualBox* y como les
>>> comente,
>>> > las reglas no tiran error, pero me deja los puertos filtrados, en fin,
>>> > inaccesible el servicio :(
>>> >
>>> > Saludos !
>>> >
>>> > El 28 de marzo de 2015, 18:15, José Roberto Alas <
>>> jrobertoalas en gmail.com>
>>> > escribió:
>>> >
>>> >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabliyo en gmail.com>:
>>> >> > jajajajaja la volvi a regar.... hay va de nuez:
>>> >> >
>>> >> > # denegamos todo
>>> >> > iptables -P INPUT DROP                                # cancelamos
>>> >> entrada
>>> >> > iptables -P OUTPUT DROP                               # cancelamos
>>> >> salidas
>>> >> > iptables -P FORWARD DROP                      # cancelamos reencios
>>> >> > iptables -t nat -P PREROUTING DROP            # cancelamos nat
>>> prerouting
>>> >> > iptables -t nat -P POSTROUTING DROP           # cancelamos nat
>>> >> postrouting
>>> >> >
>>> >> > echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>>> >> reenvio
>>> >> >
>>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> > 80 -j ACCEPT
>>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> --dport
>>> >> > 443 -j ACCEPT
>>> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >>
>>> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga
>>> >> acceso, para que no te desplaces hasta el equipo fisico.
>>> >>
>>> >> No esta de mas permitir el acceso por SSH, para administrar el server
>>> >>
>>> >> >
>>> >> > El 27 de marzo de 2015, 20:37, angel jauregui <
>>> darkdiabliyo en gmail.com>
>>> >> > escribió:
>>> >> >
>>> >> >> Rayos... se copio y pego doble :S... hay va corregido:
>>> >> >>
>>> >> >> # denegamos todo
>>> >> >> iptables -P INPUT ACCEPT                                #
>>> cancelamos
>>> >> >> entrada
>>> >> >> iptables -P OUTPUT ACCEPT                               #
>>> cancelamos
>>> >> >> salidas
>>> >> >> iptables -P FORWARD ACCEPT                      # cancelamos
>>> reencios
>>> >> >> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>>> >> >> prerouting
>>> >> >> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>>> >> >> postrouting
>>> >> >>
>>> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>>> >> >> reenvio
>>> >> >>
>>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> --dport
>>> >> >> 80 -j ACCEPT
>>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> --dport
>>> >> >> 443 -j ACCEPT
>>> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >> >>
>>> >> >> El 27 de marzo de 2015, 20:36, angel jauregui <
>>> darkdiabliyo en gmail.com>
>>> >> >> escribió:
>>> >> >>
>>> >> >> Buen dia lista :D
>>> >> >>>
>>> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir
>>> solo
>>> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no
>>> quiero
>>> >> >>> cagarla y quedarme sin conexion jejejej :D
>>> >> >>>
>>> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto,
>>> de
>>> >> >>> modo
>>> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden
>>> >> >>> checarlas y me den sus criticas:
>>> >> >>>
>>> >> >>> iptables -F
>>> >> >>> iptables -X
>>> >> >>> iptables -Z
>>> >> >>> iptables -t nat -F
>>> >> >>>
>>> >> >>> # denegamos todo
>>> >> >>> iptables -P INPUT ACCEPT                                #
>>> cancelamos
>>> >> >>> entrada
>>> >> >>> iptables -P OUTPUT ACCEPT                               #
>>> cancelamos
>>> >> >>> salidas
>>> >> >>> iptables -P FORWARD ACCEPT                      # cancelamos
>>> reencios
>>> >> >>> iptables -t nat -P PREROUTING ACCEPT            #iptables -F
>>> >> >>> iptables -X
>>> >> >>> iptables -Z
>>> >> >>> iptables -t nat -F
>>> >> >>>
>>> >> >>> # denegamos todo
>>> >> >>> iptables -P INPUT ACCEPT                                #
>>> cancelamos
>>> >> >>> entrada
>>> >> >>> iptables -P OUTPUT ACCEPT                               #
>>> cancelamos
>>> >> >>> salidas
>>> >> >>> iptables -P FORWARD ACCEPT                      # cancelamos
>>> reencios
>>> >> >>> iptables -t nat -P PREROUTING ACCEPT            # cancelamos nat
>>> >> >>> prerouting
>>> >> >>> iptables -t nat -P POSTROUTING ACCEPT           # cancelamos nat
>>> >> >>> postrouting
>>> >> >>>
>>> >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward          # activamos bit de
>>> >> >>> reenvio
>>> >> >>>
>>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> >>> --dport
>>> >> >>> 80 -j ACCEPT
>>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp
>>> >> >>> --dport
>>> >> >>> 443 -j ACCEPT
>>> >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
>>> >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
>>> >> >>>
>>> >> >>> Saludos !
>>> >> >>>
>>> >> >>> --
>>> >> >>> M.S.I. Angel Haniel Cantu Jauregui.
>>> >> >>>
>>> >> >>> Celular: (011-52-1)-899-871-17-22
>>> >> >>> E-Mail: angel.cantu en sie-group.net
>>> >> >>> Web: http://www.sie-group.net/
>>> >> >>> Cd. Reynosa Tamaulipas.
>>> >> >>>
>>> >> >>
>>> >> >>
>>> >> >>
>>> >> >> --
>>> >> >> M.S.I. Angel Haniel Cantu Jauregui.
>>> >> >>
>>> >> >> Celular: (011-52-1)-899-871-17-22
>>> >> >> E-Mail: angel.cantu en sie-group.net
>>> >> >> Web: http://www.sie-group.net/
>>> >> >> Cd. Reynosa Tamaulipas.
>>> >> >>
>>> >> >
>>> >> >
>>> >> >
>>> >> > --
>>> >> > M.S.I. Angel Haniel Cantu Jauregui.
>>> >> >
>>> >> > Celular: (011-52-1)-899-871-17-22
>>> >> > E-Mail: angel.cantu en sie-group.net
>>> >> > Web: http://www.sie-group.net/
>>> >> > Cd. Reynosa Tamaulipas.
>>> >> > _______________________________________________
>>> >> > CentOS-es mailing list
>>> >> > CentOS-es en centos.org
>>> >> > http://lists.centos.org/mailman/listinfo/centos-es
>>> >> >
>>> >>
>>> >>
>>> >> --
>>> >> Saludos,
>>> >> cheperobert
>>> >> _______________________________________________
>>> >> CentOS-es mailing list
>>> >> CentOS-es en centos.org
>>> >> http://lists.centos.org/mailman/listinfo/centos-es
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > M.S.I. Angel Haniel Cantu Jauregui.
>>> >
>>> > Celular: (011-52-1)-899-871-17-22
>>> > E-Mail: angel.cantu en sie-group.net
>>> > Web: http://www.sie-group.net/
>>> > Cd. Reynosa Tamaulipas.
>>> > _______________________________________________
>>> > CentOS-es mailing list
>>> > CentOS-es en centos.org
>>> > http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>>
>>>
>>> --
>>> Saludos,
>>> cheperobert
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.


Más información sobre la lista de distribución CentOS-es