[ubuntu-ar] Iptables

Maykel Franco Hernández maykel at maykel.es
Tue Feb 2 17:49:46 GMT 2010 

> El día 2 de febrero de 2010 08:41, Maykel Franco Hernández
> <maykel en maykel.es> escribió:
>> Hola muy buenas, he seguido este script para intentar aprender un poco
>> de
>> iptables en la pagina de guia-ubuntu que está bastante bien y aunque es
>> un
>> script, lo que hago es ir ejecutando cada linea intentando aprender que
>> es
>> lo que hace en cada momento y hacer pruebas y demás. El caso es que me
>> funciona, pero por ejemplo para un server de correo en local(pruebas)
>> entrando por squirrelmail accede bien, permitiendo el puerto 110 y 25 en
>> iptables y 80 para web, pero si intento entrar desde por ejemplo
>> thunderbird y recojerlo con pop3(puerto 110) no funciona, se queda
>> esperando y no tira. He hecho un netstat -tap para ver las conexiones y
>> si
>> utilizaba algun puerto más pero vamos con esas reglas creo yo que sería
>> suficiente. Alguien me puede echar una mano sobre iptables, o si hay
>> otra
>> pagina que lo explique mejor lo agradecería. Creo que es algo que nos
>> interesa a todos ya que es para temas de seguridad. Saludos.
>>
>> Dejo el script:
>>
>>
>>
>> #!/bin/bash
>>
>> #-s Especifica una dirección de origen
>> #-d Especifica una dirección de destino
>> #-p Especifica un prototocolo
>> #-i Especifica un interface de entrada
>> #-o Especifica un interface de salida
>> #-j Especifica la acción a ejecutar sobre el paquete
>> #--sport Puerto de origen
>> #--dport Puerto de destino
>>
>> #Borrar todas las reglas
>> iptables -F
>>
>> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
>> iptables -P INPUT DROP
>> iptables -P OUTPUT ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>> ###OTRAS PROTECCIONES####
>>
>> # Quitamos los pings.
>> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
>>
>> # No respondemos a los broadcast.
>> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Para evitar el spoofing nos aseguramos de que la dirección
>> # origen del paquete viene del sitio correcto.
>> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
>> /bin/echo "1" > ${interface}
>> done
>>
>> # Los ICMPs redirigidos que pueden alterar la tabla de rutas.
>> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
>> /bin/echo "0" > ${interface}
>> done
>>
>> # No guardamos registros de los marcianos.
>> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
>> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
>>
>> ###Reglas de los puertos####
>>
>> # Permitimos que se conecten a nuestro servidor web.
>>
>> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>>
>> #Abrimos ssh a la red.
>> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
>> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
>> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
>>
>> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>>
>> # Permitimos la comunicación con el servidor dns
>> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
>> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>>
>> #Permitimos uso de ftp.
>> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>>
>> #Permitimos acceso pop3.
>> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>>
>> # Permitimos uso de smtp
>> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT
>>
>> #Permitimos acceso imap.
>> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT
>> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT
>>
>> #Permitimos todo el trafico de la LAN
>> iptables -A INPUT -s 172.26.0.2 -j ACCEPT
>> iptables -A INPUT -s 172.26.0.4 -j ACCEPT
>> iptables -A INPUT -s 172.26.0.5 -j ACCEPT
>>
>> #Dejamos a localhost, para mysql, etc..
>> iptables -A INPUT -i lo -j ACCEPT
>>
>>
>
> Fijate que la línea que habilita al puerto 110 está comentada. ¿será eso?
> Silvio
>
>
>
> --
> Silvio Quadri
>
> --
> Ubuntu-ar lista de correo
> Ubuntu-ar en lists.ubuntu.com
> Modifica tus opciones o desuscribite en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
> Siempre leer, comprender y aplicar nuestra etiqueta:
> https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>
>

Gracias por contestar, no eso no es porque yo ese script no lo ejecuto, es
decir, yo ejecuto comando por comando. Es decir, ejecuto esto:

iptables -A INPUT -p TCP --dport 110 -j ACCEPT

More information about the Ubuntu-ar mailing list