[ubuntu-ar] Iptables
Claudio Marcial
cmarcial at gmail.com
Tue Feb 2 18:41:31 GMT 2010
El 2 de febrero de 2010 14:49, Maykel Franco Hernández
<maykel en maykel.es>escribió:
> > El día 2 de febrero de 2010 08:41, Maykel Franco Hernández
> > <maykel en maykel.es> escribió:
> >> Hola muy buenas, he seguido este script para intentar aprender un poco
> >> de
> >> iptables en la pagina de guia-ubuntu que está bastante bien y aunque es
> >> un
> >> script, lo que hago es ir ejecutando cada linea intentando aprender que
> >> es
> >> lo que hace en cada momento y hacer pruebas y demás. El caso es que me
> >> funciona, pero por ejemplo para un server de correo en local(pruebas)
> >> entrando por squirrelmail accede bien, permitiendo el puerto 110 y 25 en
> >> iptables y 80 para web, pero si intento entrar desde por ejemplo
> >> thunderbird y recojerlo con pop3(puerto 110) no funciona, se queda
> >> esperando y no tira. He hecho un netstat -tap para ver las conexiones y
> >> si
> >> utilizaba algun puerto más pero vamos con esas reglas creo yo que sería
> >> suficiente. Alguien me puede echar una mano sobre iptables, o si hay
> >> otra
> >> pagina que lo explique mejor lo agradecería. Creo que es algo que nos
> >> interesa a todos ya que es para temas de seguridad. Saludos.
> >>
> >> Dejo el script:
> >>
> >>
> >>
> >> #!/bin/bash
> >>
> >> #-s Especifica una dirección de origen
> >> #-d Especifica una dirección de destino
> >> #-p Especifica un prototocolo
> >> #-i Especifica un interface de entrada
> >> #-o Especifica un interface de salida
> >> #-j Especifica la acción a ejecutar sobre el paquete
> >> #--sport Puerto de origen
> >> #--dport Puerto de destino
> >>
> >> #Borrar todas las reglas
> >> iptables -F
> >>
> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
> >> iptables -P INPUT DROP
> >> iptables -P OUTPUT ACCEPT
> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >>
> >> ###OTRAS PROTECCIONES####
> >>
> >> # Quitamos los pings.
> >> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
> >>
> >> # No respondemos a los broadcast.
> >> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> >>
> >> # Para evitar el spoofing nos aseguramos de que la dirección
> >> # origen del paquete viene del sitio correcto.
> >> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
> >> /bin/echo "1" > ${interface}
> >> done
> >>
> >> # Los ICMPs redirigidos que pueden alterar la tabla de rutas.
> >> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
> >> /bin/echo "0" > ${interface}
> >> done
> >>
> >> # No guardamos registros de los marcianos.
> >> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
> >>
> >> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
> >> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
> >>
> >> ###Reglas de los puertos####
> >>
> >> # Permitimos que se conecten a nuestro servidor web.
> >>
> >> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
> >>
> >> #Abrimos ssh a la red.
> >> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
> >> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
> >> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
> >>
> >> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT
> >>
> >> # Permitimos la comunicación con el servidor dns
> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
> >>
> >> #Permitimos uso de ftp.
> >> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT
> >>
> >> #Permitimos acceso pop3.
> >> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT
> >>
> >> # Permitimos uso de smtp
> >> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT
> >>
> >> #Permitimos acceso imap.
> >> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT
> >> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT
> >>
> >> #Permitimos todo el trafico de la LAN
> >> iptables -A INPUT -s 172.26.0.2 -j ACCEPT
> >> iptables -A INPUT -s 172.26.0.4 -j ACCEPT
> >> iptables -A INPUT -s 172.26.0.5 -j ACCEPT
> >>
> >> #Dejamos a localhost, para mysql, etc..
> >> iptables -A INPUT -i lo -j ACCEPT
> >>
> >>
> >
> > Fijate que la línea que habilita al puerto 110 está comentada. ¿será eso?
> > Silvio
> >
> >
> >
> > --
> > Silvio Quadri
> >
> > --
> > Ubuntu-ar lista de correo
> > Ubuntu-ar en lists.ubuntu.com
> > Modifica tus opciones o desuscribite en:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
> > Siempre leer, comprender y aplicar nuestra etiqueta:
> > https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
> >
> >
>
> Gracias por contestar, no eso no es porque yo ese script no lo ejecuto, es
> decir, yo ejecuto comando por comando. Es decir, ejecuto esto:
>
> iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>
>
> --
> Ubuntu-ar lista de correo
> Ubuntu-ar en lists.ubuntu.com
> Modifica tus opciones o desuscribite en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
> Siempre leer, comprender y aplicar nuestra etiqueta:
> https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>
>
Mandanos la salida de
iptables -L
Para ver que reglas estan corriendo en tu PC..
Saludos
--
Claudio Marcial Peon
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ar/attachments/20100202/b158a8f6/attachment.htm
More information about the Ubuntu-ar
mailing list