[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Script Iptables para servidor de correo



2008/2/28 Carlos Velásquez <debianlist@cuna.ac.cr>:
> Saludos, estoy administrando un servidor de correo electrónico con Postfix, Dovecot, squirrelmail,
>  y quiero implementarle el firewall por asunto de que ustedes ya saben: Seguridad
>
>  He encontrado este Script y quisiera saber la opinión de ustedes a ver si no tendría problemas con los servicios que ya están funcionando:
>
>
Simple y funcional,
Piodes agragarle las funcionalidades del modulo limit, para evitar DOS,
y la de los flags de las conexiones tcp. Y no estaria demas q hagas
algunos logs por ejemplo de intentos de conexiones no deseadas al
puerto 53.

>  #!/bin/bash
>
>  #-s Especifica una dirección de origen
>  #-d Especifica una dirección de destino
>  #-p Especifica un prototocolo
>  #-i Especifica un interface de entrada
>  #-o Especifica un interface de salida
>  #-j Especifica la acción a ejecutar sobre el paquete
>  #--sport Puerto de origen
>  #--dport Puerto de destino
>
>  #Borrar todas las reglas
>  iptables -F
>
>  #Politica general.Cerramos todo.Dejamos entrar y salir lo solicitado
>  iptables -P INPUT DROP
>  iptables -P OUTPUT ACCEPT
>  iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>  iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>  ###OTRAS PROTECCIONES####
>
>  # Quitamos los pings.
>  /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
>
>  # No respondemos a los broadcast.
>  /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
>  # Para evitar el spoofing nos aseguramos de que la dirección
>  # origen del paquete viene del sitio correcto.
>  for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
>  /bin/echo "1" > ${interface}
>  done
>
>  # Los ICMPs redirigidos que pueden alterar la tabla de rutas.
>  for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
>  /bin/echo "0" > ${interface}
>  done
>
>  # No guardamos registros de los marcianos.
>  /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
>
>  # Asegurar, aunque no tenga soporte el nucleo, q no hay forward.
>  /bin/echo "0" > /proc/sys/net/ipv4/ip_forward
>
>  ###Reglas de los puertos####
>
>  # Permitimos que se conecten a nuestro servidor web.
>
>  #iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT
>
>  #Abrimos ssh a la red.
>  #iptables -A INPUT -s 172.26.0.3 -p TCP --dport 22 -j ACCEPT
>  #iptables -A INPUT -s 172.26.0.4 -p TCP --dport 22 -j ACCEPT
>  #iptables -A INPUT -s 172.26.0.5 -p TCP --dport 22 -j ACCEPT
>
>  #iptables -A INPUT -p TCP --dport 22 -j ACCEPT
>
>  # Permitimos la comunicación con el servidor dns
>  iptables -A INPUT -p UDP --dport 53 -j ACCEPT
>  iptables -A INPUT -p TCP --dport 53 -j ACCEPT
>
>  #Permitimos uso de ftp.
>  #iptables -A INPUT -p TCP --dport 21 -j ACCEPT
>
>  #Permitimos acceso pop3.
>  #iptables -A INPUT -p TCP --dport 110 -j ACCEPT
>
>  # Permitimos uso de smtp
>  #iptables -A INPUT -p TCP --dport 25 -j ACCEPT
>
>  #Permitimos acceso imap.
>  #iptables -A INPUT -p TCP --dport 143 -j ACCEPT
>  #iptables -A INPUT -p UDP --dport 143 -j ACCEPT
>
>  #Permitimos todo el trafico de la LAN
>  iptables -A INPUT -s 172.26.0.2 -j ACCEPT
>  iptables -A INPUT -s 172.26.0.4 -j ACCEPT
>  iptables -A INPUT -s 172.26.0.5 -j ACCEPT
>
>  #Dejamos a localhost, para mysql, etc..
>  iptables -A INPUT -i lo -j ACCEPT
>
>  Le cambiaría solo ciertas cosas para mi server, que opinan?
>
>  Saludos...
>
>
>  --
>  To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>  with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>



-- 
---------------------------------------
-   El conocimiento es poder   -
- y el saber nos hace libres.    -
---------------------------------------
Larga vida al ping!
echo "254" > /proc/sys/net/ipv4/ip_default_ttl
Linux User #405757
Machine Linux #310536


Reply to: