[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Consulta urgente sobre ipchains


Hola:

Bueno no están díficil lo que intentas hacer, lo que pasa es que estás mezclando
algunas cosas...

Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no
tengas miedo, la primera vez asusta está claro, pero seguro te podemos ayudar así
como otros compañeros nos han ayudado a nosotros a lograr armar un kernel a
medida por primera vez.

Te cuento, yo también tengo ipchains en mi maquina, está da salida al Mundo
(Internet) a otros dos PC con güindos =)

Está maquina que tiene configurada determinadas reglas de ipchains y que permite
a las otras salir hacia Internet, es a la vez un servidor web.

Yo en principio cuando instale debian en ella, deje el kernel que trae por
defecto la instalación (2.2.19) que no está mal en principio.

Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da esto
/sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como por
ejemplo:

orvux# less /etc/network/options

ip_forward=yes
spoofprotect=yes
syncookies=yes

------------------------------------------

Y poner como valor en yes a ip_forward, necesario para poder utilizar
enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para
proteger el kernel ante ataques.

Si esto lo tenés así, perfecto lo único que te queda es definir las reglas de
filtrado:

Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso sí tene en
cuenta que si en alguna reglas para quienes están enla Intranet es decir en la
LAN interna vos pones un final como REJECT es seguro que ni descarga el correo y
ni siquiera sale al Mundo... es decir le será imposible navegar por Internet,
porque le estás denegando un servicio.

Las reglas están comentadas, está fácil... una vez que estes práctico seguro te
haces las tuyas a medida

-------------------------------------------------------------------------------------------------------------------------------------

Te aclaro que la IP (180.26.4.11 es de ejemplo y esta sería la que está conectada
a router que
te da conexión a Internet... router o lo que fuera! y la 129168.0.100 es la
segunda IP de la otra tarjeta
de red, que es la que está conectada a la Intranet o LAN interna ok!)

Fíjate y experimenta un poco con las reglas...


# Comenzamos haciendo un flush. Esto limpia todas las reglas que
# pudiéramos haber introducido previamente

/sbin/ipchains -F

# Después aplicamos por defecto tres reglas que dicen que:
# Se cierran las conexiones de entrada por defecto

/sbin/ipchains -P input DENY

# Se cierran las conexiones de forward por defecto

/sbin/ipchains -P forward DENY

# Se abren las conexiones de salida por defecto

/sbin/ipchains ?P output ACCEPT

# Después de las reglas de política por defecto,
# aplicamos reglas que hagan referencia a conexiones a
# dispositivos o puertos concretos
# Aceptamos las conexiones de entrada desde procesos locales
# (por el interfaz .lo.)

/sbin/ipchains -A input -i lo -j ACCEPT

# Aceptamos las conexiones de entrada provenientes de IPs
# de la red local (o sea, que entren por cualquier
# interfaz excepto eth0)

/sbin/ipchains -A input -s 192.168.1.0/24 ?i! 192.168.0.100 -j ACCEPT

# Rechazamos los fragmentos de paquetes ICMP

/sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY

# Pero aceptamos los paquetes ICMP normales, para que
# nuestro equipo responda a pings, por ejemplo.

/sbin/ipchains -A input-p icmp -d 192.168.1.200 -i 192.168.0.100 -j ACCEPT

# Rechazamos en todo caso las conexiones TCP y también las UDP
# a algunos puertos típicos de troyanos como BackOrifice o SubSeven.

/sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 ?j
DENY

/sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j
DENY

/sbin/ipchains -A input -p udp -d 180.26.4.11 31337 ?i 192.168.0.100 ?j DENY

/sbin/ipchains -A input ?p tcp ?d 180.26.4.11 31337 -i 192.168.0.100 ?j DENY

/sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY

/sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY

# Rechazamos también las conexiones al puerto de MYSQL

/sbin/ipchains -A input -p udp ?d 180.26.4.11 3306 -i 192.168.0.100 -j DENY

/sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY

# Rechazamos todas las conexiones que no sean las anteriores claro, de entrada
# al puerto 1024 y a cualquiera por encima de él (por eso los ?:? que equivalen
# aquí a 1024:65535)

/sbin/ipchains -A input ?p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY

/sbin/ipchains -A input ?p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY


# Enmascaramos las conexiones de forward desde direcciones IP de la red local
# hacia el exterior (o sea, salientes por el interfaz eth0)

/sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ

-------------------------------------------------------------------------------------------------------------------

Otra cosa si querés dar entrada a la gente de la LAN interna para descargar el
correo,
supongo que tendrás que habilitar un conexión al puerto por ejemplo 110 del pop,
no sé
anda probando vale, es lo mejor...

mucha suerte

andrés


-- 
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: