[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST



El 27 de junio de 2014, 10:47, Camaleón <noelamac@gmail.com> escribió:
El Thu, 26 Jun 2014 19:34:19 -0300, Flako escribió:

(buf... no sé qué cliente de correo has usado pero el formato de este
mensaje está roto, sale todo el cuerpo descuajeringado :-/)

> Hola
>     Tengo un error de concepto con iptables, necesito bloquear puertos
> (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero
> hacerlo desde el HOST.

(...)

Si tienes a la máquina virtual configurada en modo puente (bridge), el
equipo invitado se comporta como un sistema independiente de la red
local, por lo que el host en este caso no puede actuar como elemento
bloqueante salvo que los "enlaces" de alguna manera.

En resumen, entiendo que en este caso tendrías que trabajar sobre la
máquina virtual (el cliente) y añadir las reglas iptables para bloquear
los puertos que necesites en ese equipo como harías en cualquier
ordenador físico.

Saludos,


  Hola
  Gracias por responder, pero creo que me explique mal.
  La razón de crear un TAP para la VM es para poder filtrarla, si configuro la VM como bridge directamente a eth0 por lo que entiendo no se puede filtrar..
  Sigo sin comprender del todo el funcionamiento de iptables.., pero encontré https://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html  que con amargo copy&page funciono..   Parece que FORWARD se evalua antes de INPUT, ademas creo que INPUT no se usa dentro del  bridge.


    Con las reglas:
             iptables -F FORWARD
             iptables -P FORWARD ACCEPT
             iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP
             iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

             iptables -A FORWARD -p tcp -s 0/0 -d xx.1x.1x.1xx  --dport 22 -j DROP     #Bloquea entrada
             iptables -A FORWARD -p tcp -s xx.1x.1x.1xx -d 0/0  --dport 22 -j DROP     #Bloquea Salida
             iptables -A FORWARD -p udp -s 0/0 -d xx.1x.1x.1xx  --dport 488 -j DROP  #Bloquea entrada
             iptables -A FORWARD -p udp -s xx.1x.1x.1xx -d 0/0  --dport 488 -j DROP  #Bloquea Salida


    Lo que logre es hacerlo sin poner la ip, probé con
            iptables -A FORWARD -p tcp -s 0/0 -o tap0             --dport 22 -j DROP  
            iptables -A FORWARD -p tcp -s 0/0 -i eth0 -o tap0  --dport 22 -j DROP

    pero no funcionan, pero de nuevo no comprendo el porque :(



      Gracias.
Reply to: