Re: reglas iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: reglas iptables
From: Pablo Braulio <brulics@gmail.com>
Date: Mon, 4 Apr 2005 17:13:35 +0200
Message-id: <[🔎] 200504041713.37729.brulics@gmail.com>
In-reply-to: <[🔎] 20050404140139.25585.qmail@web53810.mail.yahoo.com>
References: <[🔎] 20050404140139.25585.qmail@web53810.mail.yahoo.com>

Perdona el top posting, pero lo pongo aquí arriba.

Doy por hecho que estamos hablando de un equipo con dos interfaces que hace de 
firewall situado a la entrada de la red.

Creo que deberías leer un poquito mas sobre iptables, pues veo ciertas 
deficiencias.

- Si vas a permitir que los demás equipos salgan a internet a través de este, 
no veo por ningún lado el activado del forwarding. Lo mismo que la regla de 
MASQUERADE.

- Si tienes la regla de política DROP (que me parece lo mas adecuado), tienes 
que definir las reglas en ambos sentidos (INPUT, OUTPUT). Debes decirles que 
acepten las conexiones salidas "nuevas" y que acepte las conexiones entrantes 
establecidas. Te faltan reglas con "-m state --state NEW,ESTABLISHED,RELATED"

Lo mejor que puedes hacer es establecer políticas drop tanto para entrada y 
salida. De este modo la entrada la tienes asegurada y la salida, sólo se 
realizará a lo que tu le indiques. Si te da igual la salida, pues le pones 
ACCEPT en la política OUTPUT.

Como se suele decir en los manuales, una buena gestión de un firewall es "todo 
lo que no esté explicitamente permitido, se deniega".

Por ejemplo. 
Sólo quieres permitir la salida por el puerto 80. Pues política por defecto 
OUTPUT DROP y con una regla permites la salida por el 80.
Sólo quieres cerrar el 80. Pues política por defecto OUTPUT ACCEPT  y cierras 
el 80.

Espero que te sirva.

El Lunes, 4 de Abril de 2005 16:01, Javier Alberto Alvarez escribió:
> Gente cuando pongo las politicas en accept todo anda, cuando lo paso a
> drop y habro los puertos que quiero, el correo ya no se conecta, uso
> proxy en el 3128 y samba, la eth1 conecta a internet y la eth0 a
> intranet.
> que me falta habilitar para poder bajar el correo pop?
> saludos y gracias a todos.
> las reglas son:
>
> # Inicio vaciando las reglas
> $iptables -F
> $iptables -X
> $iptables -Z
>
> ## Esta regla es para limpiar las reglas de nat.
> $iptables -t nat -F
>
> # Definicion de politicas
> $iptables -P INPUT DROP
> $iptables -P OUTPUT ACCEPT
> $iptables -P FORWARD DROP
> $iptables -t nat -P PREROUTING ACCEPT
> $iptables -t nat -P POSTROUTING ACCEPT
>
> # Aceptacio n de conexiones prestablecidas
> $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> $iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> $iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> # Acepta acceso al puerto 22
> $iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>
> # Acepta acceso al puerto 25
> $iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
>
> # Acepta acceso al puerto 53
> $iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 53 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> $iptables -A INPUT -p udp --dport 53 -j ACCEPT
>
> # Acepta acceso al puerto 80
> $iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
> # Acepta acceso al puerto 110
> $iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 110 -j ACCEPT
> $iptables -A INPUT -p tcp --dport 110 -j ACCEPT
> $iptables -A INPUT -p udp --dport 110 -j ACCEPT
>
> # IMAP
> $iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 143 -j ACCEPT
> $iptables -A FORWARD -p tcp --dport 1430 -j ACCEPT
> $iptables -A FORWARD -p udp --dport 1430 -j ACCEPT
>
> # Acepta acceso al MSN
> $iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
> #$iptables -A FORWARD -p udp --dport 1900 -j ACCEPT
>
> # Acepta acceso al puerto 3128
> $iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP
> $iptables -A INPUT -i eth1 -p udp --dport 3128 -j DROP
> $iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
> $iptables -A INPUT -p udp --dport 3128 -j ACCEPT
> #$iptables -A PREROUTING -p tcp --dport 3128 -j ACCEPT
>
> # puertos samba de entrada por puertos samba.
> ## red 192.168.0.0/24
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 137 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 138 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 139 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 445 -j
> ACCEPT
> $iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p udp --dport 445 -j
> ACCEPT
>
>
> JaViEr A. Alvarez
> *********************************************
> Linux User #127940
> User: jvralvarez Domain: jabber.org
>
>
>
>
>
>
> ___________________________________________________________
> 250MB gratis, Antivirus y Antispam
> Correo Yahoo!, el mejor correo web del mundo
> http://correo.yahoo.com.ar

-- 
Saludos.
Pablo

"No soy religioso, pero me apeno con la perdida de un gran hombre que creyó 
siempre en los jovenes".
Fingerprint 5607 40CF 45EF D490 B794  5056 D7B2 C3DC ABF1 CE49
Jabber: bruli@jabber.org
http:www.aldiagestion.com

Attachment: pgpusmC1fzVcz.pgp
Description: PGP signature

Reply to:

References:
- reglas iptables
  - From: Javier Alberto Alvarez <jvralvarez@yahoo.com>

Prev by Date: Re: nfs malo
Next by Date: Disco duro de 250 GB en Woody
Previous by thread: reglas iptables
Next by thread: Re: reglas iptables
Index(es):
- Date
- Thread