> > > basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan > hacer scaneos de red hacia la red 10.0.0.xxx > > Muchas gracias a todos. > > Ricardo! >
Hola: Tal vez debas ser mas especĂfico con el filtro icmp y/o probar con parches para netfilter que permitan detener escaneos por umbrales de tiempo, date una vuelta por patch-o-matic, puedes encontrar algo que te ayude Saludos From [EMAIL PROTECTED] Sat Sep 13 06:07:00 2008 From: [EMAIL PROTECTED] (Miguel Oyarzo O.) Date: Sat Sep 13 12:07:12 2008 Subject: evitar mapeos de red Message-ID: <[EMAIL PROTECTED]> At 15:49 12/09/2008, Jorge Luis Rodriguez wrote: >Hola comunidad! > >les cuento mi problema, resulta que tenemos una red clase A con el rango de >ip 10.0.0.xxx, con salida a internet y algunos servicios para la red >interna, dentro de esta red >instales un servidor con debian, ese servidor tiene la eth0 con ip >10.0.0.150, y una eth1 con ip 192.168.1.1. Este servidor debe brindar nada >mas que internet a la subred de > >clase C con ip 192.168.1.xxx. Resulta que con el scrips que posteso mas >abajo funciona perfecto, pero no logro evitar que desde la red interna se >pueda mapear la red de clase > >A (10.0.0.xxx), probe con nmap, languard, y en ambos caso si mapeo el rango >de ip 10.0.0.1-10.0.0.250 estando en la red de clase C (192.168.1.1) puedo >ver todas las pc que > >estan en la red 10.0.0.xxx. Eh buscado y leido mucho, quizas la solucion sea >una tontera, pero bueno, lo cierto es que no logro ver la socucion entre >todo lo que ley y busque. > >internet-=|Router-1|10.0.0.1=-------10.0.0.150-=|Router-2|=-192.168.1.1 > >#!/bin/bash >#Firewall con politicas por defecto DROP! > >route add default gw 10.0.0.1 > >IPTABLES="`which iptables`" >IPLOCAL="192.168.1.1" > >EXTIF="eth0" > >INTIF="eth1" > > >echo " Interface Externa: $EXTIF" >echo " Interface Interna: $INTIF" >echo " Path a iptables : $IPTABLES" >echo " IP de local : $IPLOCAL" > >#cargamos los modulos > >/sbin/modprobe ip_tables >/sbin/modprobe ip_conntrack >/sbin/modprobe ip_conntrack_ftp >/sbin/modprobe iptable_nat >/sbin/modprobe ip_nat_ftp >/sbin/modprobe iptable_filter >/sbin/modprobe ipt_LOG >/sbin/modprobe ipt_REJECT >/sbin/modprobe ipt_state >/sbin/modprobe ipt_MASQUERADE > >#bit necesarios en el kernel >echo 1 > /proc/sys/net/ipv4/ip_forward >echo 1 > /proc/sys/net/ipv4/ip_dynaddr > >#borramos Reglas Preestablecidas >$IPTABLES -F >$IPTABLES -X >$IPTABLES -Z >$IPTABLES -t nat -F > >#establecemos las politicas por defecto >$IPTABLES -P INPUT DROP >$IPTABLES -P OUTPUT DROP >$IPTABLES -P FORWARD DROP > >#habilitar el enmascarado >$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE > >#Se permiten pasar solo las conecciones establecidas >$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state >ESTABLISHED,RELATED -j ACCEPT >$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT >$IPTABLES -A FORWARD -j LOG > > >$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT >$IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT > >#permitimos entrar y salir al loopback >$IPTABLES -A INPUT -i lo -j ACCEPT >$IPTABLES -A OUTPUT -o lo -j ACCEPT > >#solo mi ip puede entrar al SSH >$IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -s 192.168.1.9 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF -p tcp --sport 22 -d 192.168.1.9 -j ACCEPT > >$IPTABLES -A INPUT -i $INTIF -p udp --dport 53 -j ACCEPT >$IPTABLES -A OUTPUT -o $INTIF -p udp --sport 53 -j ACCEPT > >#Permitiendo ingresar al DHCP >$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67:68 -j ACCEPT >$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67:68 -j ACCEPT > >$IPTABLES -A OUTPUT -p tcp --sport 67 --dport 67:68 -j ACCEPT >$IPTABLES -A OUTPUT -p udp --sport 67 --dport 67:68 -j ACCEPT > >#Habilitar pings >$IPTABLES -A INPUT -p icmp -i $INTIF -j ACCEPT >$IPTABLES -A OUTPUT -p icmp -o $INTIF -j ACCEPT > >#$IPT -L > > >basicamente lo que deseo es que desde la red 192.168.1.xxx no se puedan >hacer scaneos de red hacia la red 10.0.0.xxx > >Muchas gracias a todos. > >Ricardo! Esto es absolutamente inutil: 1) $IPTABLES -P FORWARD DROP 2) $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE 3) $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT por una parte le dices a tu firewall ACEPTA TODO LO QUE ATRAVIESE LA MAQUINA (3), sino BLOQUEA EL TRAFICO (1) (incoherente.. equivale a que tengas una policy $IPTABLES -P FORWARD ACCEPT) Debes modificar esa regla FORWARD (3) y decir exactamente los puertos que deseas que atraviesen la maquina (varias lineas quizas). Ademas, para solucionar tu malestar por los escaneos desde 192.168 hacia 10.0 puedes agregar a tu regla FORWARD un ! 10.0.0.0/24 ej: $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp --dport 80 -d ! 10.0.0.24 -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp --dport 443 -d ! 10.0.0.24 -j ACCEPT Con eso evitaras conexiones hacia esa red, (solo saldran hacia Internet en tu caso) Saludos, Miguel Oyarzo O, Austro Internet S.A. Punta Arenas
