[CentOS-es] OT iptables contra office365

Juan Francisco erjuak en gmail.com
Vie Mayo 22 06:18:20 UTC 2015


Hola!
Gracias por la discusion y por la informacion!
El problema me lo he encontre porque efectivamente hacer una regla que 
permita por dns, no es la solucion ya que
outlook.office365.com si consultas su ip tiene muchisimas ip, cientos... 
(Esto debido a las nuevas tecnologias del cloud de microsoft). Por lo 
que la solucion mas correcta (o mas facil). Es permitir que mi servidor 
pueda conectarse a cualquier sitio por el puerto 993 que es el Puerto IMAPS.
Con esto consigo que se conecte a donde quiera que la ip le resuelva. 
Tampoco hay un riesgo muy grande si se abre esta regla.

Asi que problema solucionado.

Gracias por las aportaciones.

El 22/05/2015 a las 5:59, Carlos Alvear escribió:
> Estimado Angel,
>
> Lo único que dije es " lo otro, si es tcp debe ser INPUT y OUTPUT", eso
> requiere alguna explicación? necesitas que te explique porque TCP requiere
> INPUT y OUTPUT?, si puede ser tanto tcp como udp, mejor asegurarse y dejar
> la regla para probar de esta forma, el fin de esta lista es aportar, no
> tener la verdad absoluta como me parece que tu piensas. Nombrar que el
> firewall es DROP da lo mismo, para eso se configuran las reglas!
>
> El 22 de mayo de 2015, 0:51, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
>> Carlos creo que no tienes mucha idea del problema... por la respuesta de
>> mencionar INPUT, porque esta regla es para recibir conexiones y el usuario
>> requiere que su server consulte (es OUTPUT, a como lo esta usando).
>>
>> En fin... seria por demas explicar :D
>>
>> El 21 de mayo de 2015, 22:47, Carlos Alvear <carlos.alvear en gmail.com>
>> escribió:
>>
>>> jaja, ok como tu digas!
>>>
>>> El 22 de mayo de 2015, 0:41, angel jauregui <darkdiabliyo en gmail.com>
>>> escribió:
>>>
>>>> Es un firewall con politica por defecto DROP..... con eso bastaria para
>>>> entender que no es posible hacerlo tan facilmente.
>>>>
>>>> El 21 de mayo de 2015, 22:04, Carlos Alvear <carlos.alvear en gmail.com>
>>>> escribió:
>>>>
>>>>> Puede aplicar perfectamente, que tal si el tiene su server conectado
>> a
>>> un
>>>>> dns y puede resolver ese nombre de dominio? porque no? eso no es
>>>> posible?,
>>>>> ahora dudo que ese nombre de dominio asi como esta escrito exista....
>>>>>
>>>>> El 22 de mayo de 2015, 0:02, angel jauregui <darkdiabliyo en gmail.com>
>>>>> escribió:
>>>>>
>>>>>> En mi opinion yo mejor habilitaria el segmento indicado por CID que
>>>>> arroja
>>>>>> "whois".
>>>>>>
>>>>>> Saludos !
>>>>>>
>>>>>> El 21 de mayo de 2015, 22:01, angel jauregui <
>> darkdiabliyo en gmail.com
>>>>>> escribió:
>>>>>>
>>>>>>> No aplica Carlos, lee la conversacion y veras que el problema no
>> es
>>>> si
>>>>> es
>>>>>>> INPUT o OUTPUT sino las resoluciones.
>>>>>>>
>>>>>>>
>>>>>>> El 21 de mayo de 2015, 21:57, Carlos Alvear <
>>> carlos.alvear en gmail.com
>>>>>>> escribió:
>>>>>>>
>>>>>>>> Lo otro, si es tcp la regla debe ser INPUT y OUTPUT....
>>>>>>>>
>>>>>>>> El 21 de mayo de 2015, 10:55, Juan Francisco <erjuak en gmail.com>
>>>>>> escribió:
>>>>>>>>> Hola
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Tengo un servidor con iptables, el cual, lo tengo configurado
>> de
>>>>> forma
>>>>>>>> que
>>>>>>>>> esta todo DROP por defecto y permito las reglas que necesito.
>>>>>>>>>
>>>>>>>>> Entonces, necesito que este, se pueda conectar a los
>> servidores
>>> de
>>>>>>>>> office365 por imaps, es decir por el puesto 993.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> La regla que tengo añadida es la siguiente:
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> iptables -A OUTPUT -d outlook.oficce365.com -m state --state
>>> NEW
>>>> -p
>>>>>> tcp
>>>>>>>>> --dport 993 -m comment --comment "Permitir conexiones IMAPS al
>>>>>> servidor
>>>>>>>>> office365" -j ACCEPT
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> EL problema es, que, cuando lanzo la regla, iptables resuelve
>>> con
>>>> la
>>>>>> ip
>>>>>>>>> que tiene esta direccion en ese mismo momento, y solamente me
>>>>> permite
>>>>>>>>> conectar a la ip que en un principio resolvio.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> ¿Alguien sabria configurarlo de forma que funcione bien, y que
>>>>> siempre
>>>>>>>> me
>>>>>>>>> permita conectarme en la ip que resuelve?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Muchas Gracias.
>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-es mailing list
>>>>>>>>> CentOS-es en centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-es mailing list
>>>>>>>> CentOS-es en centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>
>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>> Web: http://www.sie-group.net/
>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>
>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>> Web: http://www.sie-group.net/
>>>>>> Cd. Reynosa Tamaulipas.
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>>
>>>>
>>>> --
>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>
>>>> Celular: (011-52-1)-899-871-17-22
>>>> E-Mail: angel.cantu en sie-group.net
>>>> Web: http://www.sie-group.net/
>>>> Cd. Reynosa Tamaulipas.
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>
>>
>> --
>> M.S.I. Angel Haniel Cantu Jauregui.
>>
>> Celular: (011-52-1)-899-871-17-22
>> E-Mail: angel.cantu en sie-group.net
>> Web: http://www.sie-group.net/
>> Cd. Reynosa Tamaulipas.
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es



Más información sobre la lista de distribución CentOS-es