Re: iptables asesoramiento

To: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: iptables asesoramiento
From: Jose Daniel vaño <jdparra@gmail.com>
Date: Sun, 1 Jul 2012 16:29:23 +0200
Message-id: <[🔎] CAAtB=KXyUOFMDWmUgfATBq2oDyQ5FsEgh99NnVmz6fJKZ-duvg@mail.gmail.com>
In-reply-to: <[🔎] jspklt$69j$21@dough.gmane.org>
References: <4FEC68F5.3060506@gmail.com> <4FEC6F01.1070001@gmail.com> <CALdO7dkQdciYZvaFfF7octawJjNYNLN72Rpy2354LS99Wkc1vw@mail.gmail.com> <4FED9042.2020505@gmail.com> <4FEDE2E4.6060209@gmail.com> <[🔎] 4FF03A4F.4020709@gmail.com> <[🔎] jspklt$69j$21@dough.gmane.org>

A continuación te envio una configuración de cortafuegos que gasto yo:
#!/bin/bash
iptables -F && echo 1
iptables -t nat -F && echo 2
iptables -Z && echo 3
iptables -X && echo 4
#
iptables -P INPUT DROP && echo 5
iptables -P OUTPUT DROP && echo 6
iptables -P FORWARD DROP && echo 7
#
#/sbin/modprobe ip_conntrack_ftp
#
iptables -A OUTPUT -o lo -j ACCEPT && echo 8
iptables -A INPUT -i lo -j ACCEPT && echo 9
#
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 10
iptables -A INPUT -p udp --dport 1024:65535 --sport 53 -m state --state ESTABLISHED -j ACCEPT && echo 11
#
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 12
iptables -A INPUT -p tcp --dport 1024:65535 --sport 22 -m state --state ESTABLISHED -j ACCEPT && echo 13
#
iptables -A OUTPUT -p tcp --dport 1024:65535 --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 14
iptables -A INPUT -p tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT && echo 15
#
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 16
iptables -A INPUT -p tcp --dport 1024:65535 --sport 80 -m state --state ESTABLISHED -j ACCEPT && echo 17
#
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 18
iptables -A INPUT -p tcp --dport 1024:65535 --sport 443 -m state --state ESTABLISHED -j ACCEPT && echo 19
#
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 20
iptables -A INPUT -p tcp --dport 1024:65535 --sport 5900 -m state --state ESTABLISHED -j ACCEPT && echo 21
#
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21012 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 22
iptables -A INPUT -p tcp --dport 1024:65535 --sport 21012 -m state --state ESTABLISHED -j ACCEPT && echo 23
#
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT && echo 24
iptables -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT && echo 25
#
#iptables -A OUTPUT -p tcp --dport 20:21 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT & echo 20
#iptables -A INPUT -p tcp --sport 20:21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT & echo 21
#
#iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT & echo 22
#iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT && echo 23

Por defecto alguna regla está comentada porque la final no la gasto, si tienes alguna duda me lo comentas.

El 1 de julio de 2012 15:51, Camaleón <noelamac@gmail.com> escribió:

El Sun, 01 Jul 2012 13:53:51 +0200, M.Vila escribió:

(ese html...)

> Gracias por la ayuda y la documentación. Aún ando explorando manuales
> :-P Antes de contactar con vosotros había probado exitosamente cerrar
> todo el tráfico de entrada y aceptar el de salida, no contento estaba
> intentando hacer un "drop all" ahí es donde no consigo que me funcione
> :-\ .

No he seguido este hilo pero ¿por qué no instalas algún "frontend" para
iptables? Suelen ser más inteligibles a la hora de configurarlos y
aprenderás igual porque las reglas quedarán registradas y podrás
volcarlas con "iptables -L".

Aquí tienes una buena selección:

http://wiki.debian.org/Firewalls

> Me parecia muy complicado el redireccionamiento o filtrado de puertos
> solo para un programa, pues a parte de puertos principales también hay
> infinidad de puertos secundarios y no conseguí hacerlo funcionar.
> Alguien ha echo un drop all en un ordenador personal y ha conseguido que
> funcione para todo el sistema.

¿Eso era una pregunta? :-)

Si es así, ¿a qué te refieres con "hacerlo funcionar para todo el
sistema"?

> Hay forma de hacer funcionar una regla para un rango y no tener que usar
> ip estática siempre en el pc en cuestión.

¿Es eso otra pregunta? :-)

Si es así, sí claro, puedes filtrar los paquetes sobre un rango completo
de direcciones.

> He encontrado siempre el mismo ejemplo (iptables -A INPUT -s
> 192.168.1.0/24 -j ACCEPT) pero da error al activar el script, no
> acepta la máscara de red.

Si no recuerdo mal, cuando estás jugando con iptables el orden de las
reglas importa y mucho. Pon el comando que ejecutas y la salida, así como
la lista de reglas que tienes cargadas.

Saludos,

--
Camaleón

--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Archive: [🔎] jspklt$69j$21@dough.gmane.org" target="_blank">http://lists.debian.org/[🔎] jspklt$69j$21@dough.gmane.org

Reply to:

Follow-Ups:
- Re:[SOLUCIONADO] iptables asesoramiento
  - From: "M.Vila" <pradoncello@gmail.com>

References:
- Re: iptables asesoramiento
  - From: "M.Vila" <pradoncello@gmail.com>
- Re: iptables asesoramiento
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Re: OT: Migrar la mente de un "anciano" que usaba Clipper 5.3 [SOLUCIONADO]
Next by Date: RE: LibreOffice reconoce mal el teclado
Previous by thread: Re: iptables asesoramiento
Next by thread: Re:[SOLUCIONADO] iptables asesoramiento
Index(es):
- Date
- Thread