Re: Tengo una duda para asegurar el firewall.

To: debian-user-spanish@lists.debian.org
Subject: Re: Tengo una duda para asegurar el firewall.
From: Anibal Fenoglio <anifeno@yahoo.com.ar>
Date: Thu, 27 Oct 2005 09:27:33 -0300
Message-id: <[🔎] 4360C7B5.3070505@yahoo.com.ar>
In-reply-to: <[🔎] 200510271330.39527.brulics@gmail.com>
References: <[🔎] 200510271330.39527.brulics@gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Pablo Braulio escribió:
> Hola a todos.
> 
> Estoy tratando de depurar el firewall, para proteger mejor la red local. 
> Necesito la opinión de mas gente.
> 
> La estructura es esta:
> 
> Un equipo haciendo de firewall con 3 interfaces. No hay router, va directo al 
> modem cable.
> 
> 	eth0 -->Puerta de enlace dhcp
> 	eth1 -->LAN
> 	eth2 -->Servidor www, mail.
> 
> Tengo puestas todas las reglas que se piden para que funcione (politica por 
> defecto, modulos, Forwarding, NAT para la LAN y DMZ, Interfaz local). Eso 
> funciona bien.
> 
> La política es:
> 
> 		iptables -P INPUT DROP
>                 iptables -P OUTPUT ACCEPT
>                 iptables -P FORWARD DROP <-- Esta es la que quiero dejar ahora
> 
> Poniendo en FORWARD DROP he tenido que poner las siguientes reglas para que 
> los equipos, tanto de la LAN como el servidor que está en la DMZ, pueda salir 
> a Internet.
> 
> 		iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>                 iptables -A OUTPUT -o eth0 -m state --state 
> NEW,ESTABLISHED,RELATED -j ACCEPT
> 
>                 iptables -A FORWARD -i eth2 -m state --state 
> NEW,ESTABLISHED,RELATED -j ACCEPT
>                 iptables -A FORWARD -o eth2 -m state --state 
> ESTABLISHED,RELATED -j ACCEPT
> 
>                 iptables -A FORWARD -i eth1 -m state --state 
> NEW,ESTABLISHED,RELATED -j ACCEPT
>                 iptables -A FORWARD -o eth1 -m state --state 
> ESTABLISHED,RELATED -j ACCEPT
> 
> Como podéis ver, la eth0 acepta sólo conexiones nuevas salientes, la eth1 y la 
> eth2 a la inversa. Esto lo he puesto así, pues acepta las conexiones desde la 
> LAN y el servidor de la DMZ. Supongo que será lo correcto.
> 
> Lo que quiero hacer, es evitar que desde el firewall y el servidor de la DMZ, 
> se tenga acceso a la LAN. Al contrario si.
> 
> Lo curioso es que por ssh puedo acceder a todos los equipos, incluso la DMZ, 
> pero al firewall no. Tengo que poner una regla para que me lo permita. No 
> entiendo el porque. El servidor ssh no tiene ninguna configuración especial 
> que no lo permita.
> 
> ¿Alguien sabría decirme si las reglas que he puesto son correctas?.

Hola,

no podes acceder al firewall con ssh desde las redes internas ya que la
politica de INPUT es DROP y luego has permitido el acceso solo desde eth0.

Pero yo te recomiendo algún script de firewall ya armado, principalmente
Shorewall, su configuración es muy sencilla. Un amigo dio del GrULiC dió
una charla al respecto hace poco:

http://www.grulic.org.ar/eventos/charlas/shorewall-2005-09.html

Saludos

	Anibal
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDYMe01hfd87At7UoRAgGgAJ4rayqKweRwdyVxOKed3Jh22LOaBQCfdWWt
qjnpiL22ywA6wg+AMfBvgfk=
=V7MK
-----END PGP SIGNATURE-----

Reply to:

References:
- Tengo una duda para asegurar el firewall.
  - From: Pablo Braulio <brulics@gmail.com>

Prev by Date: AYUDA PHP+SQL
Next by Date: Re: Impresora LX-300
Previous by thread: Tengo una duda para asegurar el firewall.
Next by thread: RE: Tengo una duda para asegurar el firewall.
Index(es):
- Date
- Thread