Sobre iptables con DROP por default
En un host de mi red he decido aplicarle un firewall -mediante un script
de iptables- que tenga por default todo a DROP.
Aclaro que este host tiene solo una interfaz de red, y no hace las veces
de firewall de borde ni router ni nada por el estilo, su fin es brindar
servicios a la red interna.
De momento funciona bastante bien, salvo que no estoy pudiendo descargar
paquetes de los repositorios de Debian, digo, no funcionan las descargas
por ftp, razón por la cual he aplicado lo siguiente sin éxito:
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 20 -j ACCEPT
Que podrá estar faltando?
Al margen de lo anterior, quisiera hacerles 2 consultas relacionadas:
1) Para permitir las consultas DNS desde este host he agregado lo siguiente:
iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
Funciona perfecto!
Ahora en algunos blogs he visto que solo aplican la línea de UDP, lo
cual también funciona pero mas lento, es correcto lo que hice o es mejor
solo aplicar upd?
2) Por último, he visto que para evitar ataques de diccionario al ssh
aplican lo siguiente (entre otras cosas):
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
recent --update
--seconds 60 --hitcount 4 -j DROP
Que opinan?
Yo he implementado tcpwrappers y denyhosts pero si con lo anterior
mejora se aumenta un poco la seguridad bienvenido sea!
Desde ya muchas gracias!
Salu2.
Reply to: