El vie, 08-08-2003 a las 21:20, N0K escribió: > Gracias Angel por responder, tengo pongo algunas > cosas mas de porque he hecho algunas cosas. > > > > #!/bin/sh > > > > > > #Borramos antiguas reglas del firewall > > > iptables -F INPUT > > > iptables -F FORWARD > > > iptables -t nat -F > > > iptables -t nat -F PREROUTING > > > iptables -t nat -F POSTROUTING > > > > > > #Aceptamos todo lo que sale > > > iptables -P OUTPUT ACCEPT > > > > > > #Habilitamos masquerading (para la lan que hay > > > #detras del server) > > > iptables -t nat -A POSTROUTING -o eth0 -j > > > MASQUERADE > > > > yo especificaria tambien la interface de entrada > > y/o la red/mascara > > Vale, esto lo tendre en cuenta > > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > #Aceptamos paquetes de conexiones ya > > > #establecidas > > > iptables -A INPUT -p TCP -m state --state > > > RELATED -j ACCEPT iptables -A INPUT -p TCP -m > > > state --state ESTABLISHED -j ACCEPT > > > > > lo podes poner en una sola regla > Eso ya me di cuenta en otro post que me han > comentado en otra lista, thx :) > > > > #Aceptamos paquetes ICMP > > > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT > > > > > aca tenes que ser mas granular y definir que > > tipos de paquetes ICMP dejas pasar > > mmm no sabia esto, simplemente quiero que mi > maquina responda a los pings, como podria > especificarlo ??? > ya lei que te respondieron a esto, por lo tanto lo omito > > > #Aceptamos conexiones al 53, 25, y 110 > > > iptables -A INPUT -i eth0 -p TCP --dport 53 -m > > > state --state NEW -j ACCEPT iptables -A INPUT > > > -i eth0 -p UDP --dport 53 -m state --state NEW > > > -j ACCEPT iptables -A INPUT -i eth0 -p TCP > > > --dport 25 -m state --state NEW -j ACCEPT > > > iptables -A INPUT -i eth0 -p TCP --dport 110 > > > -m state --state NEW -j ACCEPT > > > > > Tenes un servidor de nombres y le das acceso a > > todo el mundo? (internet) lo mismo para el pop > mmmm tengo un servidor de nombres, supongo que la > gente tendra que hacer consultas en mi propio > servidor para los respectivos subdominios que > tenga no ??? ftp.midominio.com No entiendo si esa mima maquina hace de servidor DNS para el mundo o solo para tu LAN Si es para tu LAN no tenes por que tenerlo abierto al mundo > pop3.mmidominio.com.. etc. Y para eso tengo que > dejarles pasar por el 53 no ??? corrigeme si me > equivo. Siempre y cuando tu Servidor DNS informe de tu dominio al mundo > Con respecto al 110, si, no hay problema ya que > esta por pass, yo mismo podria consultarlo desde > fuera de mi red. > > > > > > > #Aceptamos conexiones al 22, 5901 y 6001 solo > > > #de una ip > > > iptables -A INPUT -i eth0 -p TCP --dport 22 -s > > > XX.XX.XX.XX -m state --state NEW -j ACCEPT > > > iptables -A INPUT -i eth0 -p TCP --dport 5901 > > > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT > > > iptables -A INPUT -i eth0 -p TCP --dport 6001 > > > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT > > > > > > #Redirecciono el 2022 hacia el puerto 22 de un > > > #pc de mi lan interna y lo loggeo > > > iptables -t nat -A PREROUTING -i eth0 -p TCP > > > --dport 2022 -j LOG --log-prefix "ssh_2022: " > > > iptables -t nat -A PREROUTING -i eth0 -p TCP > > > --dport 2022 -j DNAT --to 192.172.10.25:22 > > > > > > #Rechazamos conexiones al 113, asi evitamos > > > #que expiren y tarden en responder algunos > > > #servicios. > > > iptables -A INPUT -i eth0 -p TCP --dport 113 > > > -j REJECT > > > > > > #Rechazamos paquetes de conexiones nuevas > > > iptables -A INPUT -i eth0 -m state --state > > > NEW,INVALID -j DROP > > > > > con la politica en drop esto esta de mas > > > La politica de INPUT no la pongo en drop ya que > hay otra interfaz, la eth1 que va a mi lan interna > a la cual no le he prohibido nada, por lo tanto > creo que es mejor asi. No obstane, en un futuro lo > optimizare y pondre la politica en drop tanto para > input, como output y forward, y solo dare acceso a > los servicios mas utilizados. > ponela en DROP y confia en tu lan iptables -P INPUT drop iptables -A INPUT -i eth1 -j ACCEPT > > > #Rechazamos paquetes de forwarding de > > > #conexiones no establecidas > > > iptables -A FORWARD -i eth0 -m state --state > > > NEW,INVALID -j DROP > > > > > > #Rechazamos todo lo demas > > > #iptables -A INPUT -i eth0 -j DROP > > > > > idem > > > > > > > Te falta permitirle a la propia maquina > > establecer conexiones > seguro ??? la politica de OUTPUT esta en que > acepte todo, por tanto la maquina desde dentro > puede hacer cualquier conexion al exterior, nadie > se lo impide. > > > > iptables -A INPUT -i lo -j ACCEPT seguro las peticiones de la propia maquina deben "entrar" para poder "salir" por output para poder hacer eso existe la interface de loopback (127.0.0.1) > > > > > Saludos. > > > > > > > > > Supongo que habra mas comentarios, lo mio fue > > solo una ojeadita nada mas Tenes muchas mas > > opciones para filtrar mas fino, pero es cuestion > > de buscar y leer > > Gracias por todo. > de nada Angel Claudio Alvarez
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente