[CentOS-es] OT iptables contra office365
angel jauregui
darkdiabliyo en gmail.com
Vie Mayo 22 14:47:25 UTC 2015
@Juan trata dando permisos de conexion al segmento registrado en el CIDR
del dominio de office !
Saludos !
El 22 de mayo de 2015, 1:18, Juan Francisco <erjuak en gmail.com> escribió:
> Hola!
> Gracias por la discusion y por la informacion!
> El problema me lo he encontre porque efectivamente hacer una regla que
> permita por dns, no es la solucion ya que
> outlook.office365.com si consultas su ip tiene muchisimas ip, cientos...
> (Esto debido a las nuevas tecnologias del cloud de microsoft). Por lo que
> la solucion mas correcta (o mas facil). Es permitir que mi servidor pueda
> conectarse a cualquier sitio por el puerto 993 que es el Puerto IMAPS.
> Con esto consigo que se conecte a donde quiera que la ip le resuelva.
> Tampoco hay un riesgo muy grande si se abre esta regla.
>
> Asi que problema solucionado.
>
> Gracias por las aportaciones.
>
> El 22/05/2015 a las 5:59, Carlos Alvear escribió:
>
>> Estimado Angel,
>>
>> Lo único que dije es " lo otro, si es tcp debe ser INPUT y OUTPUT", eso
>> requiere alguna explicación? necesitas que te explique porque TCP requiere
>> INPUT y OUTPUT?, si puede ser tanto tcp como udp, mejor asegurarse y dejar
>> la regla para probar de esta forma, el fin de esta lista es aportar, no
>> tener la verdad absoluta como me parece que tu piensas. Nombrar que el
>> firewall es DROP da lo mismo, para eso se configuran las reglas!
>>
>> El 22 de mayo de 2015, 0:51, angel jauregui <darkdiabliyo en gmail.com>
>> escribió:
>>
>> Carlos creo que no tienes mucha idea del problema... por la respuesta de
>>> mencionar INPUT, porque esta regla es para recibir conexiones y el
>>> usuario
>>> requiere que su server consulte (es OUTPUT, a como lo esta usando).
>>>
>>> En fin... seria por demas explicar :D
>>>
>>> El 21 de mayo de 2015, 22:47, Carlos Alvear <carlos.alvear en gmail.com>
>>> escribió:
>>>
>>> jaja, ok como tu digas!
>>>>
>>>> El 22 de mayo de 2015, 0:41, angel jauregui <darkdiabliyo en gmail.com>
>>>> escribió:
>>>>
>>>> Es un firewall con politica por defecto DROP..... con eso bastaria para
>>>>> entender que no es posible hacerlo tan facilmente.
>>>>>
>>>>> El 21 de mayo de 2015, 22:04, Carlos Alvear <carlos.alvear en gmail.com>
>>>>> escribió:
>>>>>
>>>>> Puede aplicar perfectamente, que tal si el tiene su server conectado
>>>>>>
>>>>> a
>>>
>>>> un
>>>>
>>>>> dns y puede resolver ese nombre de dominio? porque no? eso no es
>>>>>>
>>>>> posible?,
>>>>>
>>>>>> ahora dudo que ese nombre de dominio asi como esta escrito exista....
>>>>>>
>>>>>> El 22 de mayo de 2015, 0:02, angel jauregui <darkdiabliyo en gmail.com>
>>>>>> escribió:
>>>>>>
>>>>>> En mi opinion yo mejor habilitaria el segmento indicado por CID que
>>>>>>>
>>>>>> arroja
>>>>>>
>>>>>>> "whois".
>>>>>>>
>>>>>>> Saludos !
>>>>>>>
>>>>>>> El 21 de mayo de 2015, 22:01, angel jauregui <
>>>>>>>
>>>>>> darkdiabliyo en gmail.com
>>>
>>>> escribió:
>>>>>>>
>>>>>>> No aplica Carlos, lee la conversacion y veras que el problema no
>>>>>>>>
>>>>>>> es
>>>
>>>> si
>>>>>
>>>>>> es
>>>>>>
>>>>>>> INPUT o OUTPUT sino las resoluciones.
>>>>>>>>
>>>>>>>>
>>>>>>>> El 21 de mayo de 2015, 21:57, Carlos Alvear <
>>>>>>>>
>>>>>>> carlos.alvear en gmail.com
>>>>
>>>>> escribió:
>>>>>>>>
>>>>>>>> Lo otro, si es tcp la regla debe ser INPUT y OUTPUT....
>>>>>>>>>
>>>>>>>>> El 21 de mayo de 2015, 10:55, Juan Francisco <erjuak en gmail.com>
>>>>>>>>>
>>>>>>>> escribió:
>>>>>>>
>>>>>>>> Hola
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Tengo un servidor con iptables, el cual, lo tengo configurado
>>>>>>>>>>
>>>>>>>>> de
>>>
>>>> forma
>>>>>>
>>>>>>> que
>>>>>>>>>
>>>>>>>>>> esta todo DROP por defecto y permito las reglas que necesito.
>>>>>>>>>>
>>>>>>>>>> Entonces, necesito que este, se pueda conectar a los
>>>>>>>>>>
>>>>>>>>> servidores
>>>
>>>> de
>>>>
>>>>> office365 por imaps, es decir por el puesto 993.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> La regla que tengo añadida es la siguiente:
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> iptables -A OUTPUT -d outlook.oficce365.com -m state --state
>>>>>>>>>>
>>>>>>>>> NEW
>>>>
>>>>> -p
>>>>>
>>>>>> tcp
>>>>>>>
>>>>>>>> --dport 993 -m comment --comment "Permitir conexiones IMAPS al
>>>>>>>>>>
>>>>>>>>> servidor
>>>>>>>
>>>>>>>> office365" -j ACCEPT
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> EL problema es, que, cuando lanzo la regla, iptables resuelve
>>>>>>>>>>
>>>>>>>>> con
>>>>
>>>>> la
>>>>>
>>>>>> ip
>>>>>>>
>>>>>>>> que tiene esta direccion en ese mismo momento, y solamente me
>>>>>>>>>>
>>>>>>>>> permite
>>>>>>
>>>>>>> conectar a la ip que en un principio resolvio.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> ¿Alguien sabria configurarlo de forma que funcione bien, y que
>>>>>>>>>>
>>>>>>>>> siempre
>>>>>>
>>>>>>> me
>>>>>>>>>
>>>>>>>>>> permita conectarme en la ip que resuelve?
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Muchas Gracias.
>>>>>>>>>>
>>>>>>>>>> _______________________________________________
>>>>>>>>>> CentOS-es mailing list
>>>>>>>>>> CentOS-es en centos.org
>>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>>>
>>>>>>>>>> _______________________________________________
>>>>>>>>> CentOS-es mailing list
>>>>>>>>> CentOS-es en centos.org
>>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>>
>>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>>> Web: http://www.sie-group.net/
>>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>>>
>>>>>>> Celular: (011-52-1)-899-871-17-22
>>>>>>> E-Mail: angel.cantu en sie-group.net
>>>>>>> Web: http://www.sie-group.net/
>>>>>>> Cd. Reynosa Tamaulipas.
>>>>>>> _______________________________________________
>>>>>>> CentOS-es mailing list
>>>>>>> CentOS-es en centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>>
>>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>>>
>>>>>
>>>>> --
>>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>>
>>>>> Celular: (011-52-1)-899-871-17-22
>>>>> E-Mail: angel.cantu en sie-group.net
>>>>> Web: http://www.sie-group.net/
>>>>> Cd. Reynosa Tamaulipas.
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>
>>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>>>
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>
>>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es