> Creen que esto puede ser una fuga de seguridad, o que este mal este > firewall. Es que la osri lo detecta como que esta mal asi. > > [...] > iptables -P INPUT DROP > iptables -P FORWARD DROP > iptables -P OUTPUT ACCEPT > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
En principio no creo que las lineas INPUT esten mal, porque si no se permite el acceso a lo, hay servicios que no funcionan, y en cuanto a las conexiones establecidas y relacionadas, son necesarias para poder establecer la comunicación. Sí tienes el OUTPUT abierto, lo cual evidentemente es mas cómodo, pero menos seguro, porque si llega a instalarse un programa malicioso en la PC, puede enviar paquetes a donde le plazca. Para mi esta es la principal fuente de inseguridad en tu script. Ahora bien, uno puede ser paranoide y usar DROP por defecto en todas las cadenas, y agregar específicamente cada servicio, puerto y protocolo para los estados NEW y también para los ESTABLISHED y RELATED, lo cual evidentemente es más trabajoso, pero se puede hacer. Si es posible, pide a la OSRI una argumentación detallada de la vulnerabilidad para que puedas trabajar en solucionarla. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l