Re: Tengo una duda para asegurar el firewall.

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: Tengo una duda para asegurar el firewall.
From: Alfonso Pinto <elhodred@yahoo.es>
Date: Fri, 28 Oct 2005 09:19:42 +0200 (CEST)
Message-id: <[🔎] 20051028071942.69904.qmail@web25602.mail.ukl.yahoo.com>
In-reply-to: <[🔎] 200510271942.08740.brulics@gmail.com>

 --- Pablo Braulio <brulics@gmail.com> escribió:

> El Jueves, 27 de Octubre de 2005 17:33, Alfonso
> Pinto escribió:
> > > ¿Porque haces POSTROUTING para la salida de
> > > paquetes?
> > > ¿Es por algún proxy o similar?.
> >
> > No, digamos que es una regla de ¿seguridad?.
> Cuando
> > dejas que las redes internas salgan al exterior,
> no
> > debes mandar los paquetes con la ip de origen de
> las
> > redes internas. Con el postrouting lo que hago es
> que
> > cambie en los paquetes la ip de origen por la de
> la
> > interface externa del firewall. Si nos ponemos muy
> > puristas, deberiamos hacer algo parecido para la
> > interacción entre las redes porque, en teoría, por
> > cada interfaz del firewall no se debe dejar pasar
> > paquetes cuya ip no se corresponda con la de la
> subred
> > de cada interfaz.
> 
> Vale, pero esto lo haces porque dispones de una ip
> estática. Yo tengo dhcp.

Con redes con dhcp no he lidiado, pero creo que lo
resolvería con un dns interno que se actualizase según
el dhcp fuese sirviendo direcciones ip. De esta forma
en las reglas puedes poner los nombres de las máquinas
en lugar de ips (en teoría, no lo he probado nunca)
> 
> Otra cosa. ¿No usas lo de -m state --state
> NEW,ESTABLISHED,RELATED?. Para la 
> política DROP si no lo pongo no va.

Si claro, si no lo pones no hay forma, lo que pasa que
se me olvido comentarte, jejeje. Aunque yo lo
implemento de otra forma, dependiendo de donde vengan
los paquetes. Por ejemplo, desde el exterior solo
acepto paquetes tal que --state ESTABLISHED,RELATED,
ya que no me interesa que desde el exterior se habran
nuevas conexiones, luego más abajo defino si dejo
algún puerto abierto para los accesos desde el
exterior.
Otra cosa a tener en cuenta es que esto no funciona
para UDP. Para este protocolo combiene definir que
aceptas la entrada a tal puerto y que aceptas la
respuesta.

También añado algunas reglas para evitar algunos
escaneos de nmap y algunos ataques típicos. Si quieres
te mando alguna de esas reglas.


> -- 
> Saludos.
> Pablo.
> 
> Fingerprint 5607 40CF 45EF D490 B794  5056 D7B2 C3DC
> ABF1 CE49
> Jabber: bruli(at)myjabber(dot)net
> 



		
______________________________________________ 
Renovamos el Correo Yahoo! 
Nuevos servicios, más seguridad 
http://correo.yahoo.es

Reply to:

Follow-Ups:
- Re: Tengo una duda para asegurar el firewall.
  - From: Pablo Braulio <brulics@gmail.com>

References:
- Re: Tengo una duda para asegurar el firewall.
  - From: Pablo Braulio <brulics@gmail.com>

Prev by Date: Re: Iptable redireccionar segun dominio
Next by Date: Re: Tengo una duda para asegurar el firewall.
Previous by thread: Re: Tengo una duda para asegurar el firewall.
Next by thread: Re: Tengo una duda para asegurar el firewall.
Index(es):
- Date
- Thread