<br><br><div class="gmail_quote">El 2 de febrero de 2010 14:49, Maykel Franco Hernández <span dir="ltr"><<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div></div><div class="h5">> El día 2 de febrero de 2010 08:41, Maykel Franco Hernández<br>
> <<a href="mailto:maykel@maykel.es">maykel@maykel.es</a>> escribió:<br>
>> Hola muy buenas, he seguido este script para intentar aprender un poco<br>
>> de<br>
>> iptables en la pagina de guia-ubuntu que está bastante bien y aunque es<br>
>> un<br>
>> script, lo que hago es ir ejecutando cada linea intentando aprender que<br>
>> es<br>
>> lo que hace en cada momento y hacer pruebas y demás. El caso es que me<br>
>> funciona, pero por ejemplo para un server de correo en local(pruebas)<br>
>> entrando por squirrelmail accede bien, permitiendo el puerto 110 y 25 en<br>
>> iptables y 80 para web, pero si intento entrar desde por ejemplo<br>
>> thunderbird y recojerlo con pop3(puerto 110) no funciona, se queda<br>
>> esperando y no tira. He hecho un netstat -tap para ver las conexiones y<br>
>> si<br>
>> utilizaba algun puerto más pero vamos con esas reglas creo yo que sería<br>
>> suficiente. Alguien me puede echar una mano sobre iptables, o si hay<br>
>> otra<br>
>> pagina que lo explique mejor lo agradecería. Creo que es algo que nos<br>
>> interesa a todos ya que es para temas de seguridad. Saludos.<br>
>><br>
>> Dejo el script:<br>
>><br>
>><br>
>><br>
>> #!/bin/bash<br>
>><br>
>> #-s Especifica una dirección de origen<br>
>> #-d Especifica una dirección de destino<br>
>> #-p Especifica un prototocolo<br>
>> #-i Especifica un interface de entrada<br>
>> #-o Especifica un interface de salida<br>
>> #-j Especifica la acción a ejecutar sobre el paquete<br>
>> #--sport Puerto de origen<br>
>> #--dport Puerto de destino<br>
>><br>
>> #Borrar todas las reglas<br>
>> iptables -F<br>
>><br>
>> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado<br>
>> iptables -P INPUT DROP<br>
>> iptables -P OUTPUT ACCEPT<br>
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>
>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>
>><br>
>> ###OTRAS PROTECCIONES####<br>
>><br>
>> # Quitamos los pings.<br>
>> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all<br>
>><br>
>> # No respondemos a los broadcast.<br>
>> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br>
>><br>
>> # Para evitar el spoofing nos aseguramos de que la dirección<br>
>> # origen del paquete viene del sitio correcto.<br>
>> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do<br>
>> /bin/echo "1" > ${interface}<br>
>> done<br>
>><br>
>> # Los ICMPs redirigidos que pueden alterar la tabla de rutas.<br>
>> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do<br>
>> /bin/echo "0" > ${interface}<br>
>> done<br>
>><br>
>> # No guardamos registros de los marcianos.<br>
>> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians<br>
>><br>
>> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.<br>
>> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward<br>
>><br>
>> ###Reglas de los puertos####<br>
>><br>
>> # Permitimos que se conecten a nuestro servidor web.<br>
>><br>
>> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT<br>
>><br>
>> #Abrimos ssh a la red.<br>
>> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT<br>
>> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT<br>
>> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT<br>
>><br>
>> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT<br>
>><br>
>> # Permitimos la comunicación con el servidor dns<br>
>> iptables -A INPUT -p UDP --dport 53 -j ACCEPT<br>
>> iptables -A INPUT -p TCP --dport 53 -j ACCEPT<br>
>><br>
>> #Permitimos uso de ftp.<br>
>> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT<br>
>><br>
>> #Permitimos acceso pop3.<br>
>> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT<br>
>><br>
>> # Permitimos uso de smtp<br>
>> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT<br>
>><br>
>> #Permitimos acceso imap.<br>
>> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT<br>
>> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT<br>
>><br>
>> #Permitimos todo el trafico de la LAN<br>
>> iptables -A INPUT -s 172.26.0.2 -j ACCEPT<br>
>> iptables -A INPUT -s 172.26.0.4 -j ACCEPT<br>
>> iptables -A INPUT -s 172.26.0.5 -j ACCEPT<br>
>><br>
>> #Dejamos a localhost, para mysql, etc..<br>
>> iptables -A INPUT -i lo -j ACCEPT<br>
>><br>
>><br>
><br>
> Fijate que la línea que habilita al puerto 110 está comentada. ¿será eso?<br>
> Silvio<br>
><br>
><br>
><br>
> --<br>
> Silvio Quadri<br>
><br>
> --<br>
> Ubuntu-ar lista de correo<br>
> <a href="mailto:Ubuntu-ar@lists.ubuntu.com">Ubuntu-ar@lists.ubuntu.com</a><br>
> Modifica tus opciones o desuscribite en:<br>
> <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar</a><br>
> Siempre leer, comprender y aplicar nuestra etiqueta:<br>
> <a href="https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML" target="_blank">https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML</a><br>
><br>
><br>
<br>
</div></div>Gracias por contestar, no eso no es porque yo ese script no lo ejecuto, es<br>
decir, yo ejecuto comando por comando. Es decir, ejecuto esto:<br>
<div class="im"><br>
iptables -A INPUT -p TCP --dport 110 -j ACCEPT<br>
<br>
<br>
</div><div><div></div><div class="h5">--<br>
Ubuntu-ar lista de correo<br>
<a href="mailto:Ubuntu-ar@lists.ubuntu.com">Ubuntu-ar@lists.ubuntu.com</a><br>
Modifica tus opciones o desuscribite en: <a href="https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar" target="_blank">https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar</a><br>
Siempre leer, comprender y aplicar nuestra etiqueta: <a href="https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML" target="_blank">https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML</a><br>
<br>
</div></div></blockquote></div><br>Mandanos la salida de <br><br>iptables -L <br><br>Para ver que reglas estan corriendo en tu PC.. <br><br>Saludos<br clear="all"><br>-- <br>Claudio Marcial Peon<br>