⏎ --⏎
17. Oct 2017 16:47 por remgasis@gmail.com:
Pregunta respondida con:1. ¿Por qué se recomienda no tener puertos en escucha de servicios que no se usan para evitar ataques de fuerza bruta, si total un firewall correctamente configurado impide las conexiones?
Respuesta: por las LAN o VLANs. La comunicación PCs a PCs en la misma LAN/VLAN se realizan con la identificación de la MAC en la CAM (Content-Addressable Memory) del switch.Se habla de enrutamiento cuando:"La política FORWARD permite al administrador controlar donde se enviaran los paquetes dentro de una LAN. Por ejemplo, para permitir el reenvío a la LAN completa (asumiendo que el cortafuegos/puerta de enlace tiene una dirección IP interna en eth1), se pueden configurar las reglas siguientes:iptables -A FORWARD -i eth1 -j ACCEPTiptables -A FORWARD -o eth1 -j ACCEPTEsta regla dá a los sistemas detrás del cortafuegos/puerta de enlace acceso a la red interna. La puerta de enlace enruta los paquetes desde un nodo de la LAN hasta su nodo destino, pasando todos los paquetes a través del dispositivo eth1."2. ¿Y por qué con namp desde otro equipo en mi red interna puedo detectar el puerto 22 en escucha teniendo firewall con la regla "deny (incoming)" y funcionando, sin poder establecer conexiones al puerto 22?Porque nmap realiza diferentes tipos de escaneos:Por ejemplo, tendrías que detener el demonio sshd para que el puerto 22 (o el puerto que hayas configurada para correr dicho demonio) no se encuentre en escucha.
¿El firewall no debería impedir cualquier tipo de petición externa?Leer: IPTABLES (tabla INPUT, OUTPUT, FORWARD, MANGLE).