Re: [CentOS-es] Configuracion de iptables

2016-10-28 Por tema Ricardo J. Barberis 
El Viernes 28/10/2016, Fernando Romero escribió:
> Ricardo gracias por tu respuesta.
> No entiendo en el ejemplo si decis que las relgas para bloquear hay que
> ponerlas a lo ultimo en el segundo ejemplo que pones esta al principio
>
> iptables -P INPUT -j REJECT
> iptables -P FORWARD -j REJECT
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
>
> Ahi no estaría bloqueando todo y la tercer regla no la aplicaría.

No, porque esas 2 primeras reglas definen la politica por defecto ('-P' en vez 
de '-A', perdon por no aclaralo en el otro mail :) )

Al ser politicas, solo aplican si ninguna otra regla coincidió, y creo que 
puedes ponerlas en cualquier parte del script pero se acostumbra al 
principio.

> Saludos
>
> El 28 de octubre de 2016, 13:29, Ricardo J. Barberis
> 
>
> escribió:
> > El Jueves 27/10/2016, Fernando Romero escribió:
> > > Hola como estan, estoy empezando con iptables y quiero crear una regla
> >
> > que
> >
> > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > > ssh, el puerto ssh lo tengo en el 42300
> > >
> > > Estuve buscando y cree algo asi
> > >
> > > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > > permita
> > >
> > > iptables -A INPUT -j REJECT
> > > iptables -A FORWARD -j REJECT
> > >
> > > Aca creo las reglas para permitir
> > >
> > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> >
> > la
> >
> > > que le quiero permitir todo)
> > >
> > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> >
> > (aca
> >
> > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo
> > > definido en el sshd_config)
> > >
> > > Esta configuracion esta bien para lo que quiero hacer arriba?
> > >
> > > Gracias y saludos
> >
> > Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
> >
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> > iptables -A INPUT -j REJECT
> > iptables -A FORWARD -j REJECT
> >
> >
> > Esto es asi ya que en general en iptables aplica la primera regla que
> > coincida, si pones primero la de bloqueo nunca se evaluaran las
> > siguientes.
> >
> > Una alternativa muy utilizada es, en lugar de bloquear todo al final,
> > configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT,
> > ej:
> >
> > iptables -P INPUT -j REJECT
> > iptables -P FORWARD -j REJECT
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> >
> >
> > Otras reglas basicas a considerar son:
> >
> > # Permitir conexiones locales (interfaz loopback, 127.0.0.1)
> > iptables -A INPUT -i lo -j ACCEPT
> >
> > # Permitir conexiones relacionadas (la "vuelta" de las que realizamos)
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >
> >
> > Te dejo unos sitios con ejemplos por si interesan:
> >
> > https://wiki.centos.org/HowTos/Network/IPTables
> > http://www.cyberciti.biz/tips/linux-iptables-examples.html
> > https://help.ubuntu.com/community/IptablesHowTo
> >
> >
> > Saludos,
> > --
> > Ricardo J. Barberis
> > Usuario Linux Nº 250625: http://counter.li.org/
> > Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> > Senior SysAdmin / IT Architect - www.DonWeb.com
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
>
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es



-- 
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Configuracion de iptables

2016-10-28 Por tema Roberto Bermúdez 
Hola Fernando lo que se expresa en el ejemplo que te pongo es que niegue la
conexión a toda IP que NO esté expresada en el lugar de las X's

El oct 28, 2016 1:38 PM, "Fernando Romero" 
escribió:

> Hola Roberto, el DROP permite la conexión a todos a ese puerto?
>
>
>
> Saludos
>
> El 28 de octubre de 2016, 0:24, Roberto Bermúdez 
> escribió:
>
> > Hola puedes usar una regla algo así
> >
> > ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP
> >
> > Saludos
> >
> > El oct 27, 2016 9:26 PM, "Fernando Romero" 
> > escribió:
> >
> > > Hola como estan, estoy empezando con iptables y quiero crear una regla
> > que
> > > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > > ssh, el puerto ssh lo tengo en el 42300
> > >
> > > Estuve buscando y cree algo asi
> > >
> > > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > > permita
> > >
> > > iptables -A INPUT -j REJECT
> > > iptables -A FORWARD -j REJECT
> > >
> > > Aca creo las reglas para permitir
> > >
> > > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> > la
> > > que le quiero permitir todo)
> > >
> > > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> > (aca
> > > permito el acceso a ssh a todos, el puerto 42300 es el que tengo
> definido
> > > en el sshd_config)
> > >
> > > Esta configuracion esta bien para lo que quiero hacer arriba?
> > >
> > > Gracias y saludos
> > > ___
> > > CentOS-es mailing list
> > > CentOS-es@centos.org
> > > https://lists.centos.org/mailman/listinfo/centos-es
> > >
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Configuracion de iptables

2016-10-28 Por tema Fernando Romero 
Hola Roberto, el DROP permite la conexión a todos a ese puerto?



Saludos

El 28 de octubre de 2016, 0:24, Roberto Bermúdez 
escribió:

> Hola puedes usar una regla algo así
>
> ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP
>
> Saludos
>
> El oct 27, 2016 9:26 PM, "Fernando Romero" 
> escribió:
>
> > Hola como estan, estoy empezando con iptables y quiero crear una regla
> que
> > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > ssh, el puerto ssh lo tengo en el 42300
> >
> > Estuve buscando y cree algo asi
> >
> > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > permita
> >
> > iptables -A INPUT -j REJECT
> > iptables -A FORWARD -j REJECT
> >
> > Aca creo las reglas para permitir
> >
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> la
> > que le quiero permitir todo)
> >
> > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> (aca
> > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
> > en el sshd_config)
> >
> > Esta configuracion esta bien para lo que quiero hacer arriba?
> >
> > Gracias y saludos
> > ___
> > CentOS-es mailing list
> > CentOS-es@centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
> >
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Configuracion de iptables

2016-10-28 Por tema Pablo Flores Aravena 
Mister, aplica las reglas que te mensionan los demás chicos y ve cual mas
te acomoda.

pero recomiendo comprobar las reglas con nmap, por ejemplo instala nmap en
un equipo que no tenga acceso al ssh y escanea tu server de la siguiente
forma
nmap  201.216.230.56 -p 1-35565

-p indica el puerto.

Tu puerto ssh no debería aparecer listado, de lo contrario está mal tu
regla.


Saludos


*Pablo Flores AravenaIngeniero Informátic*o
Sysadmin, Centro de Tecnología de la Información CTI-FAVET
Facultad de Cs. Veterinarias y Pecuarias - Universidad de Chile
Tel: +56 (02) 2978 56 31 - +56 (02) 2978 55 46

El 28 de octubre de 2016, 13:29, Ricardo J. Barberis 
escribió:

> El Jueves 27/10/2016, Fernando Romero escribió:
> > Hola como estan, estoy empezando con iptables y quiero crear una regla
> que
> > bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> > quiero que se conecten sin restrincciones y permitir conexion al puerto
> > ssh, el puerto ssh lo tengo en el 42300
> >
> > Estuve buscando y cree algo asi
> >
> > Aca rechazo todo el trafico de entrada a menos que hay una regla que
> > permita
> >
> > iptables -A INPUT -j REJECT
> > iptables -A FORWARD -j REJECT
> >
> > Aca creo las reglas para permitir
> >
> > iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a
> la
> > que le quiero permitir todo)
> >
> > iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT
> (aca
> > permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
> > en el sshd_config)
> >
> > Esta configuracion esta bien para lo que quiero hacer arriba?
> >
> > Gracias y saludos
>
> Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:
>
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
> iptables -A INPUT -j REJECT
> iptables -A FORWARD -j REJECT
>
>
> Esto es asi ya que en general en iptables aplica la primera regla que
> coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.
>
> Una alternativa muy utilizada es, en lugar de bloquear todo al final,
> configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT,
> ej:
>
> iptables -P INPUT -j REJECT
> iptables -P FORWARD -j REJECT
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT
>
>
> Otras reglas basicas a considerar son:
>
> # Permitir conexiones locales (interfaz loopback, 127.0.0.1)
> iptables -A INPUT -i lo -j ACCEPT
>
> # Permitir conexiones relacionadas (la "vuelta" de las que realizamos)
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
> Te dejo unos sitios con ejemplos por si interesan:
>
> https://wiki.centos.org/HowTos/Network/IPTables
> http://www.cyberciti.biz/tips/linux-iptables-examples.html
> https://help.ubuntu.com/community/IptablesHowTo
>
>
> Saludos,
> --
> Ricardo J. Barberis
> Usuario Linux Nº 250625: http://counter.li.org/
> Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
> Senior SysAdmin / IT Architect - www.DonWeb.com
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Configuracion de iptables

2016-10-28 Por tema Ricardo J. Barberis 
El Jueves 27/10/2016, Fernando Romero escribió:
> Hola como estan, estoy empezando con iptables y quiero crear una regla que
> bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> quiero que se conecten sin restrincciones y permitir conexion al puerto
> ssh, el puerto ssh lo tengo en el 42300
>
> Estuve buscando y cree algo asi
>
> Aca rechazo todo el trafico de entrada a menos que hay una regla que
> permita
>
> iptables -A INPUT -j REJECT
> iptables -A FORWARD -j REJECT
>
> Aca creo las reglas para permitir
>
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la
> que le quiero permitir todo)
>
> iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca
> permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
> en el sshd_config)
>
> Esta configuracion esta bien para lo que quiero hacer arriba?
>
> Gracias y saludos

Las reglas REJECT (o DROP) para bloquear debes ponerlas a lo ultimo, ej:

iptables -A INPUT -s 201.216.230.56 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT


Esto es asi ya que en general en iptables aplica la primera regla que 
coincida, si pones primero la de bloqueo nunca se evaluaran las siguientes.

Una alternativa muy utilizada es, en lugar de bloquear todo al final, 
configurar la politica por defecto con REJECT/DROP y luego si las ACCEPT, ej:

iptables -P INPUT -j REJECT
iptables -P FORWARD -j REJECT
iptables -A INPUT -s 201.216.230.56 -j ACCEPT


Otras reglas basicas a considerar son:

# Permitir conexiones locales (interfaz loopback, 127.0.0.1)
iptables -A INPUT -i lo -j ACCEPT

# Permitir conexiones relacionadas (la "vuelta" de las que realizamos)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Te dejo unos sitios con ejemplos por si interesan:

https://wiki.centos.org/HowTos/Network/IPTables
http://www.cyberciti.biz/tips/linux-iptables-examples.html
https://help.ubuntu.com/community/IptablesHowTo


Saludos,
-- 
Ricardo J. Barberis
Usuario Linux Nº 250625: http://counter.li.org/
Usuario LFS Nº 5121: http://www.linuxfromscratch.org/
Senior SysAdmin / IT Architect - www.DonWeb.com
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Configuracion de iptables

2016-10-27 Por tema Roberto Bermúdez 
Hola puedes usar una regla algo así

ipdatbles -A INPUT -p tcp -s ! x.x.x.x --dport 42300 -j DROP

Saludos

El oct 27, 2016 9:26 PM, "Fernando Romero" 
escribió:

> Hola como estan, estoy empezando con iptables y quiero crear una regla que
> bloquee todo las conexiones que vengan de afuera menos alguna ip que si
> quiero que se conecten sin restrincciones y permitir conexion al puerto
> ssh, el puerto ssh lo tengo en el 42300
>
> Estuve buscando y cree algo asi
>
> Aca rechazo todo el trafico de entrada a menos que hay una regla que
> permita
>
> iptables -A INPUT -j REJECT
> iptables -A FORWARD -j REJECT
>
> Aca creo las reglas para permitir
>
> iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la
> que le quiero permitir todo)
>
> iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca
> permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
> en el sshd_config)
>
> Esta configuracion esta bien para lo que quiero hacer arriba?
>
> Gracias y saludos
> ___
> CentOS-es mailing list
> CentOS-es@centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Configuracion de iptables

2016-10-27 Por tema Fernando Romero 
Hola como estan, estoy empezando con iptables y quiero crear una regla que
bloquee todo las conexiones que vengan de afuera menos alguna ip que si
quiero que se conecten sin restrincciones y permitir conexion al puerto
ssh, el puerto ssh lo tengo en el 42300

Estuve buscando y cree algo asi

Aca rechazo todo el trafico de entrada a menos que hay una regla que permita

iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT

Aca creo las reglas para permitir

iptables -A INPUT -s 201.216.230.56 -j ACCEPT (donde x.x.x.x es la ip a la
que le quiero permitir todo)

iptables -A INPUT -p tcp -m state --state NEW --dport 42300 -j ACCEPT (aca
permito el acceso a ssh a todos, el puerto 42300 es el que tengo definido
en el sshd_config)

Esta configuracion esta bien para lo que quiero hacer arriba?

Gracias y saludos
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es