FW: duda sobre vulnerabilidad con telnet y port 25
> El día 6 de septiembre de 2012 19:00, <cosme@esid.gecgr.co.cu> escribió:
> > ad con el tema del acceso al puerto 25 mediante telnet en las
> > pc de mi red LAN
> >
> > La caracteristicas de mi red LAN
>
> > el iptables esta una pc con ip 192.168.1.1
> > el servidor de correo esta en una pc 192.168.1.2
>
>
> Y de que vulnerabilidad te dijeron?
> Denegar el puerto 23, no te va a ser util en ningún caso (server mail
> y firewall iptables) dado que con '# telnet ipServerMail 25' entras al
> servier aunque bloquees el puerto 23. (ahí tenes un error de
> consepto)
>
> Si vos queres que no se entre al puerto 25 por telnet, tendrias que
> ver si a iptables se le puede hacer una regla que permita acceso al
> puerto 25 para los clientes de correo y bloquee el telnet. (yo te
> "aseguraría" que no se puede, pero es iptables :))
>
>
> Saludos.
Por lo que entiendo tu mail server esta en la misma red que tus usuarios,
en este conexto, cualquier regla que pongas en tus iptables podrian ser inutiles,
ya que para llegar a tu server no habria que paasr por ese gateway, al menos
que hagas una regla POSTROUTING y que tu gateway "simule" ser el mail server
y luego el redirija el trafico, como vez un lio.
Si quieres controlar las comunicaciones entre tu usuarios, servidores y red publica
crero que estamos hablando de #dmznecesaria. Hace unos años hice algunas
implementaciones que tal vez te den idea:
http://www.elrincondemartin.org/search/label/seguridad
Comparto mi url, pero no me vayan a hackear :) toma lo que te sirva de ahi.
Con iptables no creo que puedas hacer eso, ya que solo llegamos a la
capa de transporte y para telnet y correo estamos hablando de aplicaciones,
tal vez ahi te tocaria revisar algo con squid. IPtables puede bloquerte el puerto
pero es un puerto que requiere ofrecer servicio, los contenidos puedes verlo con squid.
Valoralo.
Saludos.
----
Martin Edmundo
Reply to: