[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Consulta urgente sobre ipchains


andres ha escrito:

> Hola:
>
> Bueno no están díficil lo que intentas hacer, lo que pasa es que estás mezclando
> algunas cosas...
>
> Por otra parte si tuvieras que configurar un kernel tampoco es tan grave, no
> tengas miedo, la primera vez asusta está claro, pero seguro te podemos ayudar así
> como otros compañeros nos han ayudado a nosotros a lograr armar un kernel a
> medida por primera vez.
>
> Te cuento, yo también tengo ipchains en mi maquina, está da salida al Mundo
> (Internet) a otros dos PC con güindos =)
>
> Está maquina que tiene configurada determinadas reglas de ipchains y que permite
> a las otras salir hacia Internet, es a la vez un servidor web.
>
> Yo en principio cuando instale debian en ella, deje el kernel que trae por
> defecto la instalación (2.2.19) que no está mal en principio.
>
> Ya incluye dentro del mismo a ipchains (whereis ipchains, y la salida te da esto
> /sbin/ipchains), para que funcione prolijo, debes hacer ciertos retoques como por
> ejemplo:
>
> orvux# less /etc/network/options
>
> ip_forward=yes
> spoofprotect=yes
> syncookies=yes
>
> ------------------------------------------
>
> Y poner como valor en yes a ip_forward, necesario para poder utilizar
> enmascaramiento de IP, spoofprotect ya evitar el spoofing y syncookies, para
> proteger el kernel ante ataques.
>
> Si esto lo tenés así, perfecto lo único que te queda es definir las reglas de
> filtrado:
>
> Yo te pongo algunos ejemplos y vos lo vez y vas probando, pero eso sí tene en
> cuenta que si en alguna reglas para quienes están enla Intranet es decir en la
> LAN interna vos pones un final como REJECT es seguro que ni descarga el correo y
> ni siquiera sale al Mundo... es decir le será imposible navegar por Internet,
> porque le estás denegando un servicio.
>
> Las reglas están comentadas, está fácil... una vez que estes práctico seguro te
> haces las tuyas a medida
>
> -------------------------------------------------------------------------------------------------------------------------------------
>
> Te aclaro que la IP (180.26.4.11 es de ejemplo y esta sería la que está conectada
> a router que
> te da conexión a Internet... router o lo que fuera! y la 192.168.0.100 es la
> segunda IP de la otra tarjeta
> de red, que es la que está conectada a la Intranet o LAN interna ok!)
>
> Fíjate y experimenta un poco con las reglas...
>
> # Comenzamos haciendo un flush. Esto limpia todas las reglas que
> # pudiéramos haber introducido previamente
>
> /sbin/ipchains -F
>
> # Después aplicamos por defecto tres reglas que dicen que:
> # Se cierran las conexiones de entrada por defecto
>
> /sbin/ipchains -P input DENY
>
> # Se cierran las conexiones de forward por defecto
>
> /sbin/ipchains -P forward DENY
>
> # Se abren las conexiones de salida por defecto
>
> /sbin/ipchains ?P output ACCEPT
>
> # Después de las reglas de política por defecto,
> # aplicamos reglas que hagan referencia a conexiones a
> # dispositivos o puertos concretos
> # Aceptamos las conexiones de entrada desde procesos locales
> # (por el interfaz .lo.)
>
> /sbin/ipchains -A input -i lo -j ACCEPT
>
> # Aceptamos las conexiones de entrada provenientes de IPs
> # de la red local (o sea, que entren por cualquier
> # interfaz excepto eth0)
>
> /sbin/ipchains -A input -s 180.26.4.11 ?i! 192.168.0.100 -j ACCEPT
>
> # Rechazamos los fragmentos de paquetes ICMP
>
> /sbin/ipchains -A input -p icmp -f -d 180.26.4.11 -i 192.168.0.100 -j DENY
>
> # Pero aceptamos los paquetes ICMP normales, para que
> # nuestro equipo responda a pings, por ejemplo.
>
> /sbin/ipchains -A input-p icmp -d 180.26.4.11 -i 192.168.0.100 -j ACCEPT
>
> # Rechazamos en todo caso las conexiones TCP y también las UDP
> # a algunos puertos típicos de troyanos como BackOrifice o SubSeven.
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 12345:12346 -i 192.168.0.100 ?j
> DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 12345:12346 -i 192.168.0.100 -j
> DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 31337 ?i 192.168.0.100 ?j DENY
>
> /sbin/ipchains -A input ?p tcp ?d 180.26.4.11 31337 -i 192.168.0.100 ?j DENY
>
> /sbin/ipchains -A input -p udp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -Ai~ut -p tcp -d 180.26.4.11 5999:6010 -i 192.168.0.100 -j DENY
>
> # Rechazamos también las conexiones al puerto de MYSQL
>
> /sbin/ipchains -A input -p udp ?d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input -p tcp -d 180.26.4.11 3306 -i 192.168.0.100 -j DENY
>
> # Rechazamos todas las conexiones que no sean las anteriores claro, de entrada
> # al puerto 1024 y a cualquiera por encima de él (por eso los ?:? que equivalen
> # aquí a 1024:65535)
>
> /sbin/ipchains -A input ?p udp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> /sbin/ipchains -A input ?p tcp -d 180.26.4.11 l024: -i 192.168.0.100 -j DENY
>
> # Enmascaramos las conexiones de forward desde direcciones IP de la red local
> # hacia el exterior (o sea, salientes por el interfaz eth0)
>
> /sbin/ipchains -A forward -s 192.168.0.0/24 -d 0/0 -j MASQ
>
> -------------------------------------------------------------------------------------------------------------------
>
> Otra cosa si querés dar entrada a la gente de la LAN interna para descargar el
> correo,
> supongo que tendrás que habilitar un conexión al puerto por ejemplo 110 del pop,
> no sé
> anda probando vale, es lo mejor...
>
> mucha suerte
>
> andrés


-- 
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: