Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST

Fri, 27 Jun 2014 08:18:38 -0700 

El 27 de junio de 2014, 10:47, Camaleón <[email protected]> escribió:

> El Thu, 26 Jun 2014 19:34:19 -0300, Flako escribió:
>
> (buf... no sé qué cliente de correo has usado pero el formato de este
> mensaje está roto, sale todo el cuerpo descuajeringado :-/)
>
> > Hola
> >     Tengo un error de concepto con iptables, necesito bloquear puertos
> > (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero
> > hacerlo desde el HOST.
>
> (...)
>
> Si tienes a la máquina virtual configurada en modo puente (bridge), el
> equipo invitado se comporta como un sistema independiente de la red
> local, por lo que el host en este caso no puede actuar como elemento
> bloqueante salvo que los "enlaces" de alguna manera.
>
> En resumen, entiendo que en este caso tendrías que trabajar sobre la
> máquina virtual (el cliente) y añadir las reglas iptables para bloquear
> los puertos que necesites en ese equipo como harías en cualquier
> ordenador físico.
>
> Saludos,
>
>
  Hola
  Gracias por responder, pero creo que me explique mal.
  La razón de crear un TAP para la VM es para poder filtrarla, si configuro
la VM como bridge directamente a eth0 por lo que entiendo no se puede
filtrar..
  Sigo sin comprender del todo el funcionamiento de iptables.., pero
encontré
https://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html
que con amargo copy&page funciono..   Parece que FORWARD se evalua antes de
INPUT, ademas creo que INPUT no se usa dentro del  bridge.


    Con las reglas:
             iptables -F FORWARD
             iptables -P FORWARD ACCEPT
             iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m
state --state INVALID -j DROP
             iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT

             iptables -A FORWARD -p tcp -s 0/0 -d xx.1x.1x.1xx  --dport 22
-j DROP     #Bloquea entrada
             iptables -A FORWARD -p tcp -s xx.1x.1x.1xx -d 0/0  --dport 22
-j DROP     #Bloquea Salida
             iptables -A FORWARD -p udp -s 0/0 -d xx.1x.1x.1xx  --dport 488
-j DROP  #Bloquea entrada
             iptables -A FORWARD -p udp -s xx.1x.1x.1xx -d 0/0  --dport 488
-j DROP  #Bloquea Salida


    Lo que logre es hacerlo sin poner la ip, probé con
            iptables -A FORWARD -p tcp -s 0/0 -o tap0             --dport
22 -j DROP
            iptables -A FORWARD -p tcp -s 0/0 -i eth0 -o tap0  --dport 22
-j DROP

    pero no funcionan, pero de nuevo no comprendo el porque :(



      Gracias.

Responder a