Re: [CentOS-es] Configuracion de iptables
El Viernes 28/10/2016, Fernando Romero escribió: > Ricardo gracias por tu respuesta. > No entiendo en el ejemplo si decis que las relgas para bloquear hay que > ponerlas a lo ultimo en el segundo ejemplo que pones esta al principio > > iptables -P INPUT -j REJECT > iptables -P FORWARD -j REJECT > iptables -A INPUT -s 201.216.230.56 -j ACCEPT > > Ahi no estaría bloqueando todo y la tercer regla no la aplicaría. No, porque esas 2 primeras reglas definen la politica por defecto ('-P' en vez de '-A', perdon por no aclaralo en el otro mail :) ) Al ser politicas, solo aplican si ninguna otra regla coincidió, y creo que puedes ponerlas en cualquier parte del script pero se acostumbra al principio. > Saludos > > El 28 de octubre de 2016, 13:29, Ricardo J. Barberis >> > escribió: > > El Jueves 27/10/2016, Fernando Romero escribió: > > > Hola como estan, estoy empezando con iptables y quiero crear una regla > > > > que > > > > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > > > quiero que se conecten sin restrincciones y permitir conexion al puerto > > > ssh, el puerto ssh lo tengo en el 42300 > > > > > > Estuve buscando y cree algo asi > > > > > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > > > permita > > > > > > iptables -A INPUT -j REJECT > > > iptables -A FORWARD -j REJECT > > > > > > Aca creo las reglas para permitir > > > > > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a > > > > la > > > > > que le quiero permitir todo) > > > > > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT > > > > (aca > > > > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo > > > definido en el sshd_config) > > > > > > Esta configuracion esta bien para lo que quiero hacer arriba? > > > > > > Gracias y saludos > > > > Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej: > > > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT > > iptables -A INPUT -j REJECT > > iptables -A FORWARD -j REJECT > > > > > > Esto es asi ya que en general en iptables aplica la primera regla que > > coincida, si pones primero la de bloqueo nunca se evaluaran las > > siguientes. > > > > Una alternativa muy utilizada es, en lugar de bloquear todo al final, > > configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, > > ej: > > > > iptables -P INPUT -j REJECT > > iptables -P FORWARD -j REJECT > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT > > > > > > Otras reglas basicas a considerar son: > > > > # Permitir conexiones locales (interfaz loopback, 127.0.0.1) > > iptables -A INPUT -i lo -j ACCEPT > > > > # Permitir conexiones relacionadas (la "vuelta" de las que realizamos) > > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > > Te dejo unos sitios con ejemplos por si interesan: > > > > https://wiki.centos.org/HowTos/Network/IPTables > > http://www.cyberciti.biz/tips/linux-iptables-examples.html > > https://help.ubuntu.com/community/IptablesHowTo > > > > > > Saludos, > > -- > > Ricardo J. Barberis > > Usuario Linux Nº 250625: http://counter.li.org/ > > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ > > Senior SysAdmin / IT Architect - www.DonWeb.com > > ___ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Configuracion de iptables
Hola Fernando lo que se expresa en el ejemplo que te pongo es que niegue la conexión a toda IP que NO esté expresada en el lugar de las X's El oct 28, 2016 1:38 PM, "Fernando Romero"escribió: > Hola Roberto, el DROP permite la conexión a todos a ese puerto? > > > > Saludos > > El 28 de octubre de 2016, 0:24, Roberto Bermúdez > escribió: > > > Hola puedes usar una regla algo así > > > > ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP > > > > Saludos > > > > El oct 27, 2016 9:26 PM, "Fernando Romero" > > escribió: > > > > > Hola como estan, estoy empezando con iptables y quiero crear una regla > > que > > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > > > quiero que se conecten sin restrincciones y permitir conexion al puerto > > > ssh, el puerto ssh lo tengo en el 42300 > > > > > > Estuve buscando y cree algo asi > > > > > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > > > permita > > > > > > iptables -A INPUT -j REJECT > > > iptables -A FORWARD -j REJECT > > > > > > Aca creo las reglas para permitir > > > > > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a > > la > > > que le quiero permitir todo) > > > > > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT > > (aca > > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo > definido > > > en el sshd_config) > > > > > > Esta configuracion esta bien para lo que quiero hacer arriba? > > > > > > Gracias y saludos > > > ___ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > https://lists.centos.org/mailman/listinfo/centos-es > > > > > ___ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Configuracion de iptables
Hola Roberto, el DROP permite la conexión a todos a ese puerto? Saludos El 28 de octubre de 2016, 0:24, Roberto Bermúdezescribió: > Hola puedes usar una regla algo así > > ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP > > Saludos > > El oct 27, 2016 9:26 PM, "Fernando Romero" > escribió: > > > Hola como estan, estoy empezando con iptables y quiero crear una regla > que > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > > quiero que se conecten sin restrincciones y permitir conexion al puerto > > ssh, el puerto ssh lo tengo en el 42300 > > > > Estuve buscando y cree algo asi > > > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > > permita > > > > iptables -A INPUT -j REJECT > > iptables -A FORWARD -j REJECT > > > > Aca creo las reglas para permitir > > > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a > la > > que le quiero permitir todo) > > > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT > (aca > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido > > en el sshd_config) > > > > Esta configuracion esta bien para lo que quiero hacer arriba? > > > > Gracias y saludos > > ___ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > > > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Configuracion de iptables
Mister, aplica las reglas que te mensionan los demás chicos y ve cual mas te acomoda. pero recomiendo comprobar las reglas con nmap, por ejemplo instala nmap en un equipo que no tenga acceso al ssh y escanea tu server de la siguiente forma nmap 201.216.230.56 -p 1-35565 -p indica el puerto. Tu puerto ssh no debería aparecer listado, de lo contrario está mal tu regla. Saludos *Pablo Flores AravenaIngeniero Informátic*o Sysadmin, Centro de Tecnología de la Información CTI-FAVET Facultad de Cs. Veterinarias y Pecuarias - Universidad de Chile Tel: +56 (02) 2978 56 31 - +56 (02) 2978 55 46 El 28 de octubre de 2016, 13:29, Ricardo J. Barberisescribió: > El Jueves 27/10/2016, Fernando Romero escribió: > > Hola como estan, estoy empezando con iptables y quiero crear una regla > que > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > > quiero que se conecten sin restrincciones y permitir conexion al puerto > > ssh, el puerto ssh lo tengo en el 42300 > > > > Estuve buscando y cree algo asi > > > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > > permita > > > > iptables -A INPUT -j REJECT > > iptables -A FORWARD -j REJECT > > > > Aca creo las reglas para permitir > > > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a > la > > que le quiero permitir todo) > > > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT > (aca > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido > > en el sshd_config) > > > > Esta configuracion esta bien para lo que quiero hacer arriba? > > > > Gracias y saludos > > Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej: > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT > iptables -A INPUT -j REJECT > iptables -A FORWARD -j REJECT > > > Esto es asi ya que en general en iptables aplica la primera regla que > coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes. > > Una alternativa muy utilizada es, en lugar de bloquear todo al final, > configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, > ej: > > iptables -P INPUT -j REJECT > iptables -P FORWARD -j REJECT > iptables -A INPUT -s 201.216.230.56 -j ACCEPT > > > Otras reglas basicas a considerar son: > > # Permitir conexiones locales (interfaz loopback, 127.0.0.1) > iptables -A INPUT -i lo -j ACCEPT > > # Permitir conexiones relacionadas (la "vuelta" de las que realizamos) > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > Te dejo unos sitios con ejemplos por si interesan: > > https://wiki.centos.org/HowTos/Network/IPTables > http://www.cyberciti.biz/tips/linux-iptables-examples.html > https://help.ubuntu.com/community/IptablesHowTo > > > Saludos, > -- > Ricardo J. Barberis > Usuario Linux Nº 250625: http://counter.li.org/ > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ > Senior SysAdmin / IT Architect - www.DonWeb.com > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Configuracion de iptables
El Jueves 27/10/2016, Fernando Romero escribió: > Hola como estan, estoy empezando con iptables y quiero crear una regla que > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > quiero que se conecten sin restrincciones y permitir conexion al puerto > ssh, el puerto ssh lo tengo en el 42300 > > Estuve buscando y cree algo asi > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > permita > > iptables -A INPUT -j REJECT > iptables -A FORWARD -j REJECT > > Aca creo las reglas para permitir > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la > que le quiero permitir todo) > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido > en el sshd_config) > > Esta configuracion esta bien para lo que quiero hacer arriba? > > Gracias y saludos Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej: iptables -A INPUT -s 201.216.230.56 -j ACCEPT iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT Esto es asi ya que en general en iptables aplica la primera regla que coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes. Una alternativa muy utilizada es, en lugar de bloquear todo al final, configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej: iptables -P INPUT -j REJECT iptables -P FORWARD -j REJECT iptables -A INPUT -s 201.216.230.56 -j ACCEPT Otras reglas basicas a considerar son: # Permitir conexiones locales (interfaz loopback, 127.0.0.1) iptables -A INPUT -i lo -j ACCEPT # Permitir conexiones relacionadas (la "vuelta" de las que realizamos) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Te dejo unos sitios con ejemplos por si interesan: https://wiki.centos.org/HowTos/Network/IPTables http://www.cyberciti.biz/tips/linux-iptables-examples.html https://help.ubuntu.com/community/IptablesHowTo Saludos, -- Ricardo J. Barberis Usuario Linux Nº 250625: http://counter.li.org/ Usuario LFS Nº 5121: http://www.linuxfromscratch.org/ Senior SysAdmin / IT Architect - www.DonWeb.com ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Configuracion de iptables
Hola puedes usar una regla algo así ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP Saludos El oct 27, 2016 9:26 PM, "Fernando Romero"escribió: > Hola como estan, estoy empezando con iptables y quiero crear una regla que > bloquee todo las conexiones que vengan de afuera menos alguna ip que si > quiero que se conecten sin restrincciones y permitir conexion al puerto > ssh, el puerto ssh lo tengo en el 42300 > > Estuve buscando y cree algo asi > > Aca rechazo todo el trafico de entrada a menos que hay una regla que > permita > > iptables -A INPUT -j REJECT > iptables -A FORWARD -j REJECT > > Aca creo las reglas para permitir > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la > que le quiero permitir todo) > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido > en el sshd_config) > > Esta configuracion esta bien para lo que quiero hacer arriba? > > Gracias y saludos > ___ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Configuracion de iptables
Hola como estan, estoy empezando con iptables y quiero crear una regla que bloquee todo las conexiones que vengan de afuera menos alguna ip que si quiero que se conecten sin restrincciones y permitir conexion al puerto ssh, el puerto ssh lo tengo en el 42300 Estuve buscando y cree algo asi Aca rechazo todo el trafico de entrada a menos que hay una regla que permita iptables -A INPUT -j REJECT iptables -A FORWARD -j REJECT Aca creo las reglas para permitir iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la que le quiero permitir todo) iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido en el sshd_config) Esta configuracion esta bien para lo que quiero hacer arriba? Gracias y saludos ___ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es