[CentOS-es] Configuracion de iptables
Pablo Flores Aravena
pabflore en uchile.cl
Vie Oct 28 17:41:51 UTC 2016
Mister, aplica las reglas que te mensionan los demás chicos y ve cual mas
te acomoda.
pero recomiendo comprobar las reglas con nmap, por ejemplo instala nmap en
un equipo que no tenga acceso al ssh y escanea tu server de la siguiente
forma
nmap 201.216.230.56 -p 1-35565
-p indica el puerto.
Tu puerto ssh no debería aparecer listado, de lo contrario está mal tu
regla.
Saludos
*Pablo Flores AravenaIngeniero Informátic*o
Sysadmin, Centro de Tecnología de la Información CTI-FAVET
Facultad de Cs. Veterinarias y Pecuarias - Universidad de Chile
Tel: +56 (02) 2978 56 31 - +56 (02) 2978 55 46
El 28 de octubre de 2016, 13:29, Ricardo J. Barberis <ricardo en palmtx.com.ar>
escribió:
> El Jueves 27/10/2016, Fernando Romero escribió:
> > Hola como estan, estoy empezando con iptables y quiero crear una regla
> que
> > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > ssh, el puerto ssh lo tengo en el 42300
> >
> > Estuve buscando y cree algo asi
> >
> > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > permita
> >
> > iptables -A INPUT -j REJECT
> > iptables -A FORWARD -j REJECT
> >
> > Aca creo las reglas para permitir
> >
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> la
> > que le quiero permitir todo)
> >
> > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> (aca
> > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
> > en el sshd_config)
> >
> > Esta configuracion esta bien para lo que quiero hacer arriba?
> >
> > Gracias y saludos
>
> Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
>
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> iptables -A INPUT -j REJECT
> iptables -A FORWARD -j REJECT
>
>
> Esto es asi ya que en general en iptables aplica la primera regla que
> coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
>
> Una alternativa muy utilizada es, en lugar de bloquear todo al final,
> configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT,
> ej:
>
> iptables -P INPUT -j REJECT
> iptables -P FORWARD -j REJECT
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
>
>
> Otras reglas basicas a considerar son:
>
> # Permitir conexiones locales (interfaz loopback, 127.0.0.1)
> iptables -A INPUT -i lo -j ACCEPT
>
> # Permitir conexiones relacionadas (la "vuelta" de las que realizamos)
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
> Te dejo unos sitios con ejemplos por si interesan:
>
> https://wiki.centos.org/HowTos/Network/IPTables
> http://www.cyberciti.biz/tips/linux-iptables-examples.html
> https://help.ubuntu.com/community/IptablesHowTo
>
>
> Saludos,
> --
> Ricardo J. Barberis
> Usuario Linux Nº 250625: http://counter.li.org/
> Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> Senior SysAdmin / IT Architect - www.DonWeb.com
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es