Re: Script Iptables para servidor de correo
2008/2/28 Carlos Velásquez <debianlist@cuna.ac.cr>:
> Saludos, estoy administrando un servidor de correo electrónico con Postfix, Dovecot, squirrelmail,
> y quiero implementarle el firewall por asunto de que ustedes ya saben: Seguridad
>
> He encontrado este Script y quisiera saber la opinión de ustedes a ver si no tendría problemas con los servicios que ya están funcionando:
>
>
Simple y funcional,
Piodes agragarle las funcionalidades del modulo limit, para evitar DOS,
y la de los flags de las conexiones tcp. Y no estaria demas q hagas
algunos logs por ejemplo de intentos de conexiones no deseadas al
puerto 53.
> #!/bin/bash
>
> #-s Especifica una dirección de origen
> #-d Especifica una dirección de destino
> #-p Especifica un prototocolo
> #-i Especifica un interface de entrada
> #-o Especifica un interface de salida
> #-j Especifica la acción a ejecutar sobre el paquete
> #--sport Puerto de origen
> #--dport Puerto de destino
>
> #Borrar todas las reglas
> iptables -F
>
> #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> ###OTRAS PROTECCIONES####
>
> # Quitamos los pings.
> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
>
> # No respondemos a los broadcast.
> /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
> # Para evitar el spoofing nos aseguramos de que la dirección
> # origen del paquete viene del sitio correcto.
> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
> /bin/echo "1" > ${interface}
> done
>
> # Los ICMPs redirigidos que pueden alterar la tabla de rutas.
> for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
> /bin/echo "0" > ${interface}
> done
>
> # No guardamos registros de los marcianos.
> /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
>
> # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
> /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
>
> ###Reglas de los puertos####
>
> # Permitimos que se conecten a nuestro servidor web.
>
> #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>
> #Abrimos ssh a la red.
> #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
> #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
> #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
>
> #iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>
> # Permitimos la comunicación con el servidor dns
> iptables -A INPUT -p UDP --dport 53 -j ACCEPT
> iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>
> #Permitimos uso de ftp.
> #iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>
> #Permitimos acceso pop3.
> #iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>
> # Permitimos uso de smtp
> #iptables -A INPUT -p TCP --dport 25 -j ACCEPT
>
> #Permitimos acceso imap.
> #iptables -A INPUT -p TCP --dport 143 -j ACCEPT
> #iptables -A INPUT -p UDP --dport 143 -j ACCEPT
>
> #Permitimos todo el trafico de la LAN
> iptables -A INPUT -s 172.26.0.2 -j ACCEPT
> iptables -A INPUT -s 172.26.0.4 -j ACCEPT
> iptables -A INPUT -s 172.26.0.5 -j ACCEPT
>
> #Dejamos a localhost, para mysql, etc..
> iptables -A INPUT -i lo -j ACCEPT
>
> Le cambiaría solo ciertas cosas para mi server, que opinan?
>
> Saludos...
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
--
---------------------------------------
- El conocimiento es poder -
- y el saber nos hace libres. -
---------------------------------------
Larga vida al ping!
echo "254" > /proc/sys/net/ipv4/ip_default_ttl
Linux User #405757
Machine Linux #310536
Reply to: