Re: script de reglas iptables - proxy transparente - bloqueo p2p - drop defecto

To: debian-user-spanish@lists.debian.org
Subject: Re: script de reglas iptables - proxy transparente - bloqueo p2p - drop defecto
From: Guimi <listas@guimi.net>
Date: Thu, 19 Apr 2007 10:15:29 +0200
Message-id: <[🔎] 46272521.5050506@guimi.net>
In-reply-to: <[🔎] 100618.52867.qm@web27104.mail.ukl.yahoo.com>
References: <[🔎] 100618.52867.qm@web27104.mail.ukl.yahoo.com>

Paúl Criollo Ortiz escribió:

Saludos...


Hola,

(...)
La idea es tener un proxy transparente y tener la politica drop pordefecto, para asi optimizar mi banda y bloquear las redes p2p, busca ybusca en internet de aporte en aporte, pude tener este script, ya correbien el script en el centos,

En el CentOS?         ^^^^^^^^^
Pues en esta lista yo te recomiendo Debian ;-)
Por ejemplo, un manual para lo que pides:
http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html

pero las pcs no acceden a internet semuestra este error:

(...)
ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: /

The following error was encountered:

    * Invalid URL
(...)
(squid/2.5.STABLE6)


Has probado a navegar desde la máquina proxy?
Has probado escribiendo direcciones completas "http://www.google.com";?

############# SCRIPT DE REGLAS
(...)
echo "DETENEMOS EL SERVICIO DE FIREWALL ..."
/sbin/service iptables stop

echo "DECLARAMOS LA VARIABLES INICIAL DEL ENTORNO ..."
iptables="/sbin/iptables"

echo "COMENZAMOS BORRANDO TODAS LAS REGLAS ACTUALES ..."
$iptables -F
$iptables -t nat -F
##$iptables -X
##$iptables -Z


Ya puestos, te faltan varias reglas por borrar:
# Reglas generales (este lo tienes)
$IPTABLES -F
# Borramos 'cadenas' de usuario (lo tienes comentado ¿por qué?)
$IPTABLES -X
# Ponemos a cero paquetes y contadores (lo tienes comentado ¿por qué?)
$IPTABLES -Z
# Limpiamos las reglas de NAT (este lo tienes)
$IPTABLES -t nat -F
# Borramos 'cadenas' de usuario de NAT (este te falta)
$IPTABLES -t nat -X

(...)
# Quitamos los pings.
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


Por qué? Los pings son muy importantes.

Como todo, lo que hay que controlar es su abuso, cosa que haces másadelante (dos bloques con gestión de ICMP)

echo "Estableciendo Politica por Defecto (DENEGAR)..."
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP


Puestos a blindar el cortafuegos:
$IPTABLES -t nat -P PREROUTING   DROP
$IPTABLES -t nat -P POSTROUTING  DROP

##########################################
# No admitimos desde el exterior redes locales (RFC 1918)
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16  -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8      -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12   -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4     -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5     -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED        -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8       -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16  -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP
$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP         -j DROP
# Desde el interior solo admitimos nuestra red LAN
$IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED      -j DROP

(...)
echo " Cerrando los Puertos restantes del Firewall."
$iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP
$iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP


Si las políticas por defecto son DROP, estas líneas no son necesarias.
Tampoco molestan, sobre todo si cambias las politicas por defecto ;-)

(...)
#######################################
si fueran tan amable de aclararme algunas dudas,

que le falta a mi script, que esta de mas, si el orden esta inadecuado,


Depende de lo que quieras conseguir.
Yo habilitaría el ping.

La pregunta sería ¿entiendes qué hace cada una de las reglas que hasescrito?

y si con esto ya no entraran las redes p2p,

La mula necesita que le abras varios puertos. Mientras los cierres se lopones mucho más dificil.

Otra técnica que a veces funciona mejor es en vez de "impedir" "educar".
Si impides que conecten de un modo buscarán otro.

Si cuando lo hacen reciben un mensaje avisando que la conexión estácontrolada y que han sido malos igual lo dejan.En fin, eso ya es más psicología que informática y depende mucho de lagente y las circunstancias.

(...)
espero me ayuden..


Espero que te sirva la ayuda para seguir adelante.
Tienes más manuales que te serán de gran ayuda en google ;-)

Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista

Reply to:

References:
- script de reglas iptables - proxy transparente - bloqueo p2p - drop defecto
  - From: Paúl Criollo Ortiz <polcrito.debian@yahoo.es>

Prev by Date: Re: LIRC
Next by Date: El paquete w32codecs equivale a essential-20050412.tar.bz2??
Previous by thread: RE: script de reglas iptables - proxy transparente - bloqueo p2p - drop defecto
Next by thread: crear carpeta en mayusculas
Index(es):
- Date
- Thread