Entendiendo UFW e IPTABLES
Hola compañer@s. :D
Me he estado leyendo algunos manuales acerca de como funcionan los
proxys en debian. Hace tiempo configure uno llamado polipo corriendo
en debian 6.
Si bien la configuracion del proxy en si, ya no es un misterio... la
configuracion del cortafuegos es harina de otro costal.
Veamos.
El proxy esta corriendo en una maquina local, con IP local fija
192.168.1.10 y no presta servicio a otras maquinas. eth0 es la
interfaz de red y el usuario que corre el servicio de llama proxy.
El proxy escuha en los puertos http/https y encamina las coenxiones a
su destino final.
Lo que me gustaria lograr en el contafuegos es:
1) bloquear cualquier intento de conexion remota al proxy
2) permitir las conexiones mediante loopback al proxy
3)***** redirigir las peticiones http/https desde localhost al proxy*****
4)bloquear todas las demas conexiones http/https.
El apartado tres no tengo muy claro si realmente los necesito. He
configurado /etc/envairoment y el navegador y todo sale por defecto
por el proxy. Creo que meterme en FORWARD PORTS y sucedaneos puede no
ser necesario.
En UFW, en /etc/before.rules
He añadido al final del fichero, justo antes de comit, estas lineas.
#bloquear cualquier intento de conexion remota al proxy
-A ufw-before-input -p tcp -d 192.168.1.10 -i eth0 -m multiport
--dports 80,443 -j DROP
#darle salida al proxy mediante los puertos 80,443
-A ufw-before-output -p tcp -m multiport --dports 80,443 -m owner
--uid-owner proxy -j ACCEPT
#Bloquear todo lo demas en los puertos 80,443.
-A ufw-before-output -p tcp -m multiport --dports 80,443 -j DROP
Lo que consigo discernir es como crear la regla que permita solo a
localhost conectarse al proxy.
Si usted haria las reglas de otra manera, todo comentario dera bienvenido.
Saludos
:D
--
"El cielo es para los dragones
lo que el agua es para las ninfas"
Reply to: