El 24/02/14 22:44, Maykel Franco escribió:
Hola buenas, tengo una pregunta que alomejor es un poco tonta pero
siempre la he tenido y ahí va...
No entiendo cuál es la finalidad de usar iptables. Es decir, se usa
para filtrar y abrir sólo lo que tú quieras o cerrar, pero si tengo
sólo instalado un servidor web y un servicio ssh, qué más da si uso
iptables para aceptar sólo conexiones a esos puertos 80/22
respectivamente y cierro todo lo demás, si aunque no ponga iptables
también van a estar abierto y escuchando...
¿Para que no puedan explotar otros puertos abiertos de otros
servicios? No sé alomejor estoy equivocado pero no le veo mucho
sentido excepto cerrar todo y abrir solo lo que quieras... No sé si me
explicado bien.
Es decir, imaginaros que sólo tengo el servicio web activo, puerto 80,
todo lo demás que tenga algún puerto corriendo los paro, qué
diferencia habría de usar ahí iptables a no usarlo...
Saludos.
iptables es un firewall de red con el que gestionar las conexiones en
capa 3 y 4 como más te guste o necesites. Incluso puedes comprobar el
estado de las mismas para decidir que hacer con ellas o detectar
paquetes mal formados que puedan dar indicios de un ataque.
Como comentas, se utiliza para cortar tráfico no deseado y permitir el
legítimo: ya sea abriendo puertos, permitiendo qué conexiones desde qué
red, NATing, etc.
Puedes tener todos los servicios que quieras escuchando en la máquina
local, pero si tienes iptables dropeando todas las peticiones serán
rechazadas.
Por ejemplo, prueba en tu máquina con el server Web y SSH las siguientes
reglas
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 22 -j DROP
esto debería descartarte todas las conexiones entrantes al puerto de
destino 80 y 22 de la máquina local aun teniendo la política por defecto
en ACCEPT. Con el comando iptables -L -vn deberías poder ver los
contadores incrementándose con las pruebas que hagas.
La configuración de un firewall es muy particular porque varía desde las
necesidades de la red hasta del administrador del mismo. Lo ideal a mi
gusto y más en ambientes en producción, es denegar todo y permitir
únicamente lo que sea necesario pero no es estrictamente necesario.
Saludos!
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/530bc2a5.5090...@gmail.com