[CentOS-es] Configuracion de iptables
Ricardo J. Barberis
ricardo en palmtx.com.ar
Vie Oct 28 20:04:12 UTC 2016
El Viernes 28/10/2016, Fernando Romero escribió:
> Ricardo gracias por tu respuesta.
> No entiendo en el ejemplo si decis que las relgas para bloquear hay que
> ponerlas a lo ultimo en el segundo ejemplo que pones esta al principio
>
> iptables -P INPUT -j REJECT
> iptables -P FORWARD -j REJECT
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
>
> Ahi no estaría bloqueando todo y la tercer regla no la aplicaría.
No, porque esas 2 primeras reglas definen la politica por defecto ('-P' en vez
de '-A', perdon por no aclaralo en el otro mail :) )
Al ser politicas, solo aplican si ninguna otra regla coincidió, y creo que
puedes ponerlas en cualquier parte del script pero se acostumbra al
principio.
> Saludos
>
> El 28 de octubre de 2016, 13:29, Ricardo J. Barberis
> <ricardo en palmtx.com.ar>
>
> escribió:
> > El Jueves 27/10/2016, Fernando Romero escribió:
> > > Hola como estan, estoy empezando con iptables y quiero crear una regla
> >
> > que
> >
> > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > > ssh, el puerto ssh lo tengo en el 42300
> > >
> > > Estuve buscando y cree algo asi
> > >
> > > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > > permita
> > >
> > > iptables -A INPUT -j REJECT
> > > iptables -A FORWARD -j REJECT
> > >
> > > Aca creo las reglas para permitir
> > >
> > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> >
> > la
> >
> > > que le quiero permitir todo)
> > >
> > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> >
> > (aca
> >
> > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo
> > > definido en el sshd_config)
> > >
> > > Esta configuracion esta bien para lo que quiero hacer arriba?
> > >
> > > Gracias y saludos
> >
> > Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
> >
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> > iptables -A INPUT -j REJECT
> > iptables -A FORWARD -j REJECT
> >
> >
> > Esto es asi ya que en general en iptables aplica la primera regla que
> > coincida, si pones primero la de bloqueo nunca se evaluaran las
> > siguientes.
> >
> > Una alternativa muy utilizada es, en lugar de bloquear todo al final,
> > configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT,
> > ej:
> >
> > iptables -P INPUT -j REJECT
> > iptables -P FORWARD -j REJECT
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> >
> >
> > Otras reglas basicas a considerar son:
> >
> > # Permitir conexiones locales (interfaz loopback, 127.0.0.1)
> > iptables -A INPUT -i lo -j ACCEPT
> >
> > # Permitir conexiones relacionadas (la "vuelta" de las que realizamos)
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> >
> > Te dejo unos sitios con ejemplos por si interesan:
> >
> > https://wiki.centos.org/HowTos/Network/IPTables
> > http://www.cyberciti.biz/tips/linux-iptables-examples.html
> > https://help.ubuntu.com/community/IptablesHowTo
> >
> >
> > Saludos,
> > --
> > Ricardo J. Barberis
> > Usuario Linux Nº 250625: http://counter.li.org/
> > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> > Senior SysAdmin / IT Architect - www.DonWeb.com
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
--
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com
Más información sobre la lista de distribución CentOS-es