<div class="gmail_quote">El 2 de febrero de 2010 14:49, Maykel Franco Hernández <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>> escribió: <blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"> <div><div></div><div class="h5">> El día 2 de febrero de 2010 08:41, Maykel Franco Hernández > <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>> escribió: >> Hola muy buenas, he seguido este script para intentar aprender un poco >> de >> iptables en la pagina de guia-ubuntu que está bastante bien y aunque es >> un >> script, lo que hago es ir ejecutando cada linea intentando aprender que >> es >> lo que hace en cada momento y hacer pruebas y demás. El caso es que me >> funciona, pero por ejemplo para un server de correo en local(pruebas) >> entrando por squirrelmail accede bien, permitiendo el puerto 110 y 25 en >> iptables y 80 para web, pero si intento entrar desde por ejemplo >> thunderbird y recojerlo con pop3(puerto 110) no funciona, se queda >> esperando y no tira. He hecho un netstat -tap para ver las conexiones y >> si >> utilizaba algun puerto más pero vamos con esas reglas creo yo que sería >> suficiente. Alguien me puede echar una mano sobre iptables, o si hay >> otra >> pagina que lo explique mejor lo agradecería. Creo que es algo que nos >> interesa a todos ya que es para temas de seguridad. Saludos. >> >> Dejo el script: >> >> >> >> #!/bin/bash >> >> #-s Especifica una dirección de origen >> #-d Especifica una dirección de destino >> #-p Especifica un prototocolo >> #-i Especifica un interface de entrada >> #-o Especifica un interface de salida >> #-j Especifica la acción a ejecutar sobre el paquete >> #--sport Puerto de origen >> #--dport Puerto de destino >> >> #Borrar todas las reglas >> iptables -F >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado >> iptables -P INPUT DROP >> iptables -P OUTPUT ACCEPT >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> ###OTRAS PROTECCIONES#### >> >> # Quitamos los pings. >> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all >> >> # No respondemos a los broadcast. >> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts >> >> # Para evitar el spoofing nos aseguramos de que la dirección >> # origen del paquete viene del sitio correcto. >> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do >> /bin/echo "1" > ${interface} >> done >> >> # Los ICMPs redirigidos que pueden alterar la tabla de rutas. >> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do >> /bin/echo "0" > ${interface} >> done >> >> # No guardamos registros de los marcianos. >> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians >> >> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward. >> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward >> >> ###Reglas de los puertos#### >> >> # Permitimos que se conecten a nuestro servidor web. >> >> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT >> >> #Abrimos ssh a la red. >> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT >> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT >> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT >> >> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT >> >> # Permitimos la comunicación con el servidor dns >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT >> >> #Permitimos uso de ftp. >> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT >> >> #Permitimos acceso pop3. >> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT >> >> # Permitimos uso de smtp >> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT >> >> #Permitimos acceso imap. >> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT >> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT >> >> #Permitimos todo el trafico de la LAN >> iptables -A INPUT -s 172.26.0.2 -j ACCEPT >> iptables -A INPUT -s 172.26.0.4 -j ACCEPT >> iptables -A INPUT -s 172.26.0.5 -j ACCEPT >> >> #Dejamos a localhost, para mysql, etc.. >> iptables -A INPUT -i lo -j ACCEPT >> >> > > Fijate que la línea que habilita al puerto 110 está comentada. ¿será eso? > Silvio > > > > -- > Silvio Quadri > > -- > Ubuntu-ar lista de correo > <a href="mailto:Ubuntu-ar@lists.ubuntu.com">Ubuntu-ar@lists.ubuntu.com</a> > Modifica tus opciones o desuscribite en: > <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar</a> > Siempre leer, comprender y aplicar nuestra etiqueta: > <a href="https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML" target="_blank">https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML</a> > > </div></div>Gracias por contestar, no eso no es porque yo ese script no lo ejecuto, es decir, yo ejecuto comando por comando. Es decir, ejecuto esto: <div class="im"> iptables -A INPUT -p TCP --dport 110 -j ACCEPT </div><div><div></div><div class="h5">-- Ubuntu-ar lista de correo <a href="mailto:Ubuntu-ar@lists.ubuntu.com">Ubuntu-ar@lists.ubuntu.com</a> Modifica tus opciones o desuscribite en: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar</a> Siempre leer, comprender y aplicar nuestra etiqueta: <a href="https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML" target="_blank">https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML</a> </div></div></blockquote></div> Mandanos la salida de iptables -L Para ver que reglas estan corriendo en tu PC.. Saludos -- Claudio Marcial Peon