Autor
|
Tema: Libros sobre configurar iptables en Linux (Leído 9,678 veces)
|
dairus20
Desconectado
Mensajes: 110
|
Saludos, de nuevo gracias por ayudarme, tengo algunas dudas:
-A INPUT -i lo -j ACCEPT ¿porque no me vale esta?
Ok voy ha hacer los cambios a ver que tal?
En realidad si puedo navegar actualmente no me preguntes como porque sinceramente no lo se pero tal cual tengo el script ahora si puedo navegar perfectamente.
¿Que debo hacer?
|
|
|
En línea
|
|
|
|
dairus20
Desconectado
Mensajes: 110
|
Una pregunta, si bloqueo todo el trafico entrante y permito el saliente, en ¿principio estoy seguro?, es decir no conozco ataques salvo una conexión inversa para atacarme.
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.027
|
En realidad si puedo navegar actualmente no me preguntes como porque sinceramente no lo se pero tal cual tengo el script ahora si puedo navegar perfectamente.
Es por ese NEW, estas bloqueando todo con la politica DROP, pero estas dejando paso a todos los paquetes nuevos, no estas haciendo nada. -A INPUT -i lo -j ACCEPT ¿porque no me vale esta?
Pues porque estableciste esta regla. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Todo de la salida de lo es aceptado, y si tienes es regla para que quieres dejar paso a todo, es como esta. -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Cometes el mismo error, ahora entiendes el NEW? tiene que ir fuera. Una pregunta, si bloqueo todo el trafico entrante y permito el saliente, en ¿principio estoy seguro?, es decir no conozco ataques salvo una conexión inversa para atacarme.
Si bloqueas el trafico entrante no podras comunicarte con nada, por eso tienes esta regla. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Ejemplo: -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT Se deja paso en la salida para los puertos 80 y 53 con estado NEW, eso significa que solicitas, por ejemplo cuando entras en google. En la entrada se deja paso a los paquetes con conexiones ya establecidas y related, y en la salida igual. Si le pones ese NEW a OUTPUT es como si no hicieras nada, lo mismo con esta. Un saludo.
|
|
|
En línea
|
|
|
|
dairus20
Desconectado
Mensajes: 110
|
Entonces mejor borro todo y lo hago desde 0?.
Pero podría bloquear el entrante y permitir el saliente y agregar después una regla que diga que solo permite entrante por puerto 80 y 443
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.027
|
Si, sera mejor que comiences desde cero. Pero podría bloquear el entrante y permitir el saliente y agregar después una regla que diga que solo permite entrante por puerto 80 y 443
Me parece que no entiendes aun esta regla. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Estas bloqueando todo, ya que tienes la politica de entrada en DROP, lo que hace esta regla es que las conexiones que solicites, que son las reglas de OUTPUT con el estado NEW, se dejen pasar porque se establece la conexion, nadie va a poder hacerte nada ni entrar ya que no solicitaste tu la conexion lo entiendes? Asi que es una tonteria eso que propones, a no ser que te refieras a esto. -A INPUT -p tcp --sport 80 -j ACCEPT Se dejaria entrar todas las conexiones al puerto 80, todo el mundo desde fuera puede entrar. No te refieres a eso no? Mira te dejo un ejemplo. iptables -F iptables -X iptables -Z
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT Tendrias que navegar bien con esto. Y sobre la cadena FORWARD investiga. Un saludo.
|
|
|
En línea
|
|
|
|
dairus20
Desconectado
Mensajes: 110
|
Saludos, de nuevo mil gracias, disculpa mi poca capacidad de entendimiento es que quiero aprender de verdad pero se me complica todo, no he parado de leer montones de ejemplos de scripts de iptables en internet he intentar entenderlos y comprenderlos, pero gracias a tu sabiduría ahora entiendo algo.
Ya me estaba dando por vencido pero voy a probar el script q me has pasado y ver si logro que funcione. Ahora te cuento gracias de nuevo.
|
|
|
En línea
|
|
|
|
dairus20
Desconectado
Mensajes: 110
|
Vale, gracias ya puedo navegar eres el mejor, ahora creo que ya entendí el script o eso creo: -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Según esta línea solo permitirá la entrada a las conexiones que yo he iniciado. iptables -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT Estás se refieren a que las conexiones syn nuevas que yo he iniciado que tienen esos puertos de destino se acepte?. No lo he explicado como tu jejeje pero al menos con mis palabras, era mucho más simple que todo el lío que yo me estaba montando yo solo.
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.027
|
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Según esta línea solo permitirá la entrada a las conexiones que yo he iniciado.
Exacto, por ejemplo, cuando tu entras al puerto 80 le envias un "NEW" si el servidor remoto acepta ese NEW la conexion pasa a ESTABLISHED, el servidor puede enviarte paquetes porque estaran en ESTABLISHED y esos son aceptados, por eso nadie puede enviarte ningun paquete porque todos son NEW y esos se descartan, para saber mas de esto lee algun libro sobre protocolos, esto es una explicacion muy probre al lado de un libro. Estás se refieren a que las conexiones syn nuevas que yo he iniciado que tienen esos puertos de destino se acepte?.
Si, OUTPUT eres tu, simplemente estas dejando salir los paquetes NEW de dichos puertos . Dijiste que tenias dos interfaces, te recuerdo que estas reglas son "globales" son para todas las interfaces, si quieres establecer una regla para una interfaz especifica, tienes que ponerla en la regla. Podrias poner alguna regla para los paquetes icmp. ahora mismo no puedes hacer ni un ping, el script es muy limidato. Ya se te complicara la cosa si algun dia quieres hacer NAT o redirreccionamiento o algo mas complejo. Un saludo.
|
|
|
En línea
|
|
|
|
dairus20
Desconectado
Mensajes: 110
|
Jooo eres un maquinon estoy muy agradecido por tantas molestias en ayudarme, he abierto también el puerto 5500 para el ssh y me ha funcionado simplemente he creado otra regla exactamente igual pero cambiandole el puerto de destino Ahora seguiré investigando para aprender nuevas medidas de seguridad, si necesitas algo y esta en mi mano cuenta conmigo, jejeje si pasas por España -- Las Palmas de Gran Canaria avísame que te invito a tomar algo o a comer uun fuerte abrazo.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Algún apunte mas sobre iptables..
Seguridad
|
Jenag
|
0
|
2,166
|
30 Noviembre 2013, 23:22 pm
por Jenag
|
|
|
Busco libros sobre: Porqué el diseño y como funciona GNU/Linux.
GNU/Linux
|
milx86
|
2
|
2,345
|
14 Febrero 2015, 15:52 pm
por milx86
|
|
|
Sobre IPtables (pregunta)
GNU/Linux
|
joanch
|
1
|
1,782
|
7 Noviembre 2015, 14:50 pm
por WIитX
|
|
|
Link con super-pack de libros sobre linux
GNU/Linux
|
JvCelada
|
0
|
2,154
|
1 Abril 2017, 01:24 am
por JvCelada
|
|
|
Dudas sobre iptables
Seguridad
|
maremotoenseco
|
2
|
2,592
|
26 Octubre 2017, 20:54 pm
por maremotoenseco
|
|