[ubuntu-ar] Iptables
Silvio Quadri
silvioq at gmail.com
Tue Feb 2 15:07:34 GMT 2010
El día 2 de febrero de 2010 08:41, Maykel Franco Hernández
<maykel en maykel.es> escribió:
> Hola muy buenas, he seguido este script para intentar aprender un poco de
> iptables en la pagina de guia-ubuntu que está bastante bien y aunque es un
> script, lo que hago es ir ejecutando cada linea intentando aprender que es
> lo que hace en cada momento y hacer pruebas y demás. El caso es que me
> funciona, pero por ejemplo para un server de correo en local(pruebas)
> entrando por squirrelmail accede bien, permitiendo el puerto 110 y 25 en
> iptables y 80 para web, pero si intento entrar desde por ejemplo
> thunderbird y recojerlo con pop3(puerto 110) no funciona, se queda
> esperando y no tira. He hecho un netstat -tap para ver las conexiones y si
> utilizaba algun puerto más pero vamos con esas reglas creo yo que sería
> suficiente. Alguien me puede echar una mano sobre iptables, o si hay otra
> pagina que lo explique mejor lo agradecería. Creo que es algo que nos
> interesa a todos ya que es para temas de seguridad. Saludos.
>
> Dejo el script:
>
>
>
> #!/bin/bash
>
> #-s Especifica una dirección de origen
> #-d Especifica una dirección de destino
> #-p Especifica un prototocolo
> #-i Especifica un interface de entrada
> #-o Especifica un interface de salida
> #-j Especifica la acción a ejecutar sobre el paquete
> #--sport Puerto de origen
> #--dport Puerto de destino
>
> #Borrar todas las reglas
> iptables -F
>
> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> ###OTRAS PROTECCIONES####
>
> # Quitamos los pings.
> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
>
> # No respondemos a los broadcast.
> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
> # Para evitar el spoofing nos aseguramos de que la dirección
> # origen del paquete viene del sitio correcto.
> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
> /bin/echo "1" > ${interface}
> done
>
> # Los ICMPs redirigidos que pueden alterar la tabla de rutas.
> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
> /bin/echo "0" > ${interface}
> done
>
> # No guardamos registros de los marcianos.
> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
>
> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
>
> ###Reglas de los puertos####
>
> # Permitimos que se conecten a nuestro servidor web.
>
> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>
> #Abrimos ssh a la red.
> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
>
> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>
> # Permitimos la comunicación con el servidor dns
> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>
> #Permitimos uso de ftp.
> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>
> #Permitimos acceso pop3.
> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>
> # Permitimos uso de smtp
> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT
>
> #Permitimos acceso imap.
> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT
> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT
>
> #Permitimos todo el trafico de la LAN
> iptables -A INPUT -s 172.26.0.2 -j ACCEPT
> iptables -A INPUT -s 172.26.0.4 -j ACCEPT
> iptables -A INPUT -s 172.26.0.5 -j ACCEPT
>
> #Dejamos a localhost, para mysql, etc..
> iptables -A INPUT -i lo -j ACCEPT
>
>
Fijate que la línea que habilita al puerto 110 está comentada. ¿será eso?
Silvio
--
Silvio Quadri
More information about the Ubuntu-ar
mailing list