Re: Entendiendo UFW e IPTABLES
El Sun, 13 Mar 2016 21:55:40 +0100, Ala de Dragón escribió:
(...)
> En UFW, en /etc/before.rules He añadido al final del fichero, justo
> antes de comit, estas lineas.
>
> #bloquear cualquier intento de conexion remota al proxy
> -A ufw-before-input -p tcp -d 192.168.1.10 -i eth0 -m multiport --dports
> 80,443 -j DROP
> #darle salida al proxy mediante los puertos 80,443
> -A ufw-before-output -p tcp -m multiport --dports 80,443 -m owner
> --uid-owner proxy -j ACCEPT
> #Bloquear todo lo demas en los puertos 80,443.
> -A ufw-before-output -p tcp -m multiport --dports 80,443 -j DROP
>
> Lo que consigo discernir es como crear la regla que permita solo a
> localhost conectarse al proxy.
Esto no sé bien para qué lo necesitas, quizá sea demasiado restrictivo y
te dé problemas inesperados en los momentos más inoportunos. Activa el
registro de UFW para ver lo que sucede...
En cuanto a la regla en sí, para que fuera efectiva tendrías que denegar
primero todo el tráfico hacia esa interfaz (!) y luego permitir sólo el
que venga de "lo" por lo que entiendo que tendría que ser una de las
primeras reglas en entrar en acción para luego ir relajando los
requisitos, por ejemplo (y a vuela-pluma, que yo de cortafuegos y demás
gaitas estoy pez):
# Rechazar todo el tráfico hacia la interfaz eth0
-A ufw-before-input -i eth0 -p tcp -j DROP
# Permitir todo el tráfico hacia la interfaz eth0 desde loopback
-A ufw-before-input -p tcp -i eth0 -s 127.0.0.1 -j ACCEPT
-A ufw-before-output -p tcp -i eth0 -s 127.0.0.1 -j ACCEPT
Saludos,
--
Camaleón
Reply to: