�Hola! He montado para una asociacion de mi universidad un servidor (acceso mediante SSH, con HTTP, SMTP y POP3, de momento) en Debian. Para protegerlo lo maximo posible le he instalado el IPtables con el siguiente filtrado:
---CUT--- iptables -t nat -A POSTROUTING -o lo -j SNAT --to-source MI_IP iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: " iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -N icmp_packets iptables -N tcp_packets iptables -N udpincoming_packets iptables -N allowed iptables -A allowed -p TCP --syn -j ACCEPT iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A allowed -p TCP -j DROP iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT iptables -A tcp_packets -p TCP -s IP_PERMITIDA --dport 22 -j allowed iptables -A tcp_packets -p TCP -s OTRA_IP_PERMITIDA --dport 22 -j allowed iptables -A tcp_packets -p TCP -s X.Y.0.0/16 --dport 25 -j allowed iptables -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed iptables -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed iptables -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT iptables -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p ICMP -i eth0 -j icmp_packets iptables -A INPUT -p TCP -i eth0 -j tcp_packets iptables -A INPUT -p UDP -i eth0 -j udpincoming_packets iptables -A INPUT -p ALL -i lo -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p ALL -d MI_IP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p ALL -s MI_IP -j ACCEPT iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " ---CUT--- Notas: MI_IP es la IP del servidor. X.Y.0.0/16 esta para que desde cualquier ordenador de la universidad se puedan enviar mails mediante el SMTP de mi servidor. IP_PERMITIDA es la IP del ordenador desde el que quiero que se pueda acceder mediante SSH. Las cadenas estas os sonaran pq me las he copiado del IPtables HOWTO, adaptandolas a mis necesidades. �Que os parece este filtrado? Parece estar bastante bien, �no? Se lo he ense�ado a un par de amigos que dominan el tema minimamente y me han dicho que no parece tener ningun fallo descomunal... El "problema" es el que el servidor no se deja ni pingear ni scannear (un scanner de puertos desde fuera me devuelve que no hay ninguno abierto). �Esto es seguridad o *paranoia*? O:-) Bueno, nada mas :-) Es mi primer msj a la lista asi que sirva de presentacion :-) Si me pudierais echar una mano y decirme que os parece el filtrado os estaria muy agradecida :-) Un beso a todos! __________________________________________________ Do You Yahoo!? Send your FREE holiday greetings online! http://greetings.yahoo.com
