2015-03-27 19:44 GMT-06:00, angel jauregui <[email protected]>: > jajajajaja la volvi a regar.... hay va de nuez: > > # denegamos todo > iptables -P INPUT DROP # cancelamos entrada > iptables -P OUTPUT DROP # cancelamos salidas > iptables -P FORWARD DROP # cancelamos reencios > iptables -t nat -P PREROUTING DROP # cancelamos nat prerouting > iptables -t nat -P POSTROUTING DROP # cancelamos nat postrouting > > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de reenvio > > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport > 80 -j ACCEPT > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport > 443 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Pues se ve que esta bien, pero dale permisos a una IP para que tenga acceso, para que no te desplaces hasta el equipo fisico. No esta de mas permitir el acceso por SSH, para administrar el server > > El 27 de marzo de 2015, 20:37, angel jauregui <[email protected]> > escribió: > >> Rayos... se copio y pego doble :S... hay va corregido: >> >> # denegamos todo >> iptables -P INPUT ACCEPT # cancelamos >> entrada >> iptables -P OUTPUT ACCEPT # cancelamos >> salidas >> iptables -P FORWARD ACCEPT # cancelamos reencios >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >> prerouting >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >> postrouting >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> reenvio >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport >> 80 -j ACCEPT >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport >> 443 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> El 27 de marzo de 2015, 20:36, angel jauregui <[email protected]> >> escribió: >> >> Buen dia lista :D >>> >>> Quiero montar un firewall configurado por defecto en DROP y abrir solo >>> los puertos que quiero, pero como el servidor esta EN LINEA, no quiero >>> cagarla y quedarme sin conexion jejejej :D >>> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de >>> modo >>> que *hice las siguientes reglas* las cuales quiero ver si pueden >>> checarlas y me den sus criticas: >>> >>> iptables -F >>> iptables -X >>> iptables -Z >>> iptables -t nat -F >>> >>> # denegamos todo >>> iptables -P INPUT ACCEPT # cancelamos >>> entrada >>> iptables -P OUTPUT ACCEPT # cancelamos >>> salidas >>> iptables -P FORWARD ACCEPT # cancelamos reencios >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F >>> iptables -X >>> iptables -Z >>> iptables -t nat -F >>> >>> # denegamos todo >>> iptables -P INPUT ACCEPT # cancelamos >>> entrada >>> iptables -P OUTPUT ACCEPT # cancelamos >>> salidas >>> iptables -P FORWARD ACCEPT # cancelamos reencios >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >>> prerouting >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >>> postrouting >>> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >>> reenvio >>> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> --dport >>> 80 -j ACCEPT >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> --dport >>> 443 -j ACCEPT >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >>> >>> Saludos ! >>> >>> -- >>> M.S.I. Angel Haniel Cantu Jauregui. >>> >>> Celular: (011-52-1)-899-871-17-22 >>> E-Mail: [email protected] >>> Web: http://www.sie-group.net/ >>> Cd. Reynosa Tamaulipas. >>> >> >> >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: [email protected] >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: [email protected] > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > _______________________________________________ > CentOS-es mailing list > [email protected] > http://lists.centos.org/mailman/listinfo/centos-es > -- Saludos, cheperobert _______________________________________________ CentOS-es mailing list [email protected] http://lists.centos.org/mailman/listinfo/centos-es
