Re: iptables asesoramiento
Gracias por la ayuda y la documentación. Aún ando explorando manuales :-P Antes de contactar con vosotros había probado exitosamente cerrar todo el tráfico de entrada y aceptar el de salida, no contento estaba intentando hacer un drop all ahí es donde no consigo que me funcione :-\ . Me parecia muy complicado el redireccionamiento o filtrado de puertos solo para un programa, pues a parte de puertos principales también hay infinidad de puertos secundarios y no conseguí hacerlo funcionar. Alguien ha echo un drop all en un ordenador personal y ha conseguido que funcione para todo el sistema. Hay forma de hacer funcionar una regla para un rango y no tener que usar ip estática siempre en el pc en cuestión. He encontrado siempre el mismo ejemplo (iptables -A INPUT -_s 192.168.1.0/24 _-j ACCEPT) pero da error al activar el script, no acepta la máscara de red. Un saludo y muchas gracias por vuestra ayuda.
Re: iptables asesoramiento
El Sun, 01 Jul 2012 13:53:51 +0200, M.Vila escribió: (ese html...) Gracias por la ayuda y la documentación. Aún ando explorando manuales :-P Antes de contactar con vosotros había probado exitosamente cerrar todo el tráfico de entrada y aceptar el de salida, no contento estaba intentando hacer un drop all ahí es donde no consigo que me funcione :-\ . No he seguido este hilo pero ¿por qué no instalas algún frontend para iptables? Suelen ser más inteligibles a la hora de configurarlos y aprenderás igual porque las reglas quedarán registradas y podrás volcarlas con iptables -L. Aquí tienes una buena selección: http://wiki.debian.org/Firewalls Me parecia muy complicado el redireccionamiento o filtrado de puertos solo para un programa, pues a parte de puertos principales también hay infinidad de puertos secundarios y no conseguí hacerlo funcionar. Alguien ha echo un drop all en un ordenador personal y ha conseguido que funcione para todo el sistema. ¿Eso era una pregunta? :-) Si es así, ¿a qué te refieres con hacerlo funcionar para todo el sistema? Hay forma de hacer funcionar una regla para un rango y no tener que usar ip estática siempre en el pc en cuestión. ¿Es eso otra pregunta? :-) Si es así, sí claro, puedes filtrar los paquetes sobre un rango completo de direcciones. He encontrado siempre el mismo ejemplo (iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT) pero da error al activar el script, no acepta la máscara de red. Si no recuerdo mal, cuando estás jugando con iptables el orden de las reglas importa y mucho. Pon el comando que ejecutas y la salida, así como la lista de reglas que tienes cargadas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/jspklt$69j$2...@dough.gmane.org
Re: iptables asesoramiento
A continuación te envio una configuración de cortafuegos que gasto yo: #!/bin/bash iptables -F echo 1 iptables -t nat -F echo 2 iptables -Z echo 3 iptables -X echo 4 # iptables -P INPUT DROP echo 5 iptables -P OUTPUT DROP echo 6 iptables -P FORWARD DROP echo 7 # #/sbin/modprobe ip_conntrack_ftp # iptables -A OUTPUT -o lo -j ACCEPT echo 8 iptables -A INPUT -i lo -j ACCEPT echo 9 # iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT echo 10 iptables -A INPUT -p udp --dport 1024:65535 --sport 53 -m state --state ESTABLISHED -j ACCEPT echo 11 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT echo 12 iptables -A INPUT -p tcp --dport 1024:65535 --sport 22 -m state --state ESTABLISHED -j ACCEPT echo 13 # iptables -A OUTPUT -p tcp --dport 1024:65535 --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT echo 14 iptables -A INPUT -p tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT echo 15 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT echo 16 iptables -A INPUT -p tcp --dport 1024:65535 --sport 80 -m state --state ESTABLISHED -j ACCEPT echo 17 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT echo 18 iptables -A INPUT -p tcp --dport 1024:65535 --sport 443 -m state --state ESTABLISHED -j ACCEPT echo 19 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT echo 20 iptables -A INPUT -p tcp --dport 1024:65535 --sport 5900 -m state --state ESTABLISHED -j ACCEPT echo 21 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21012 -m state --state NEW,ESTABLISHED -j ACCEPT echo 22 iptables -A INPUT -p tcp --dport 1024:65535 --sport 21012 -m state --state ESTABLISHED -j ACCEPT echo 23 # iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT echo 24 iptables -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT echo 25 # #iptables -A OUTPUT -p tcp --dport 20:21 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT echo 20 #iptables -A INPUT -p tcp --sport 20:21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT echo 21 # #iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT echo 22 #iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT echo 23 Por defecto alguna regla está comentada porque la final no la gasto, si tienes alguna duda me lo comentas. El 1 de julio de 2012 15:51, Camaleón noela...@gmail.com escribió: El Sun, 01 Jul 2012 13:53:51 +0200, M.Vila escribió: (ese html...) Gracias por la ayuda y la documentación. Aún ando explorando manuales :-P Antes de contactar con vosotros había probado exitosamente cerrar todo el tráfico de entrada y aceptar el de salida, no contento estaba intentando hacer un drop all ahí es donde no consigo que me funcione :-\ . No he seguido este hilo pero ¿por qué no instalas algún frontend para iptables? Suelen ser más inteligibles a la hora de configurarlos y aprenderás igual porque las reglas quedarán registradas y podrás volcarlas con iptables -L. Aquí tienes una buena selección: http://wiki.debian.org/Firewalls Me parecia muy complicado el redireccionamiento o filtrado de puertos solo para un programa, pues a parte de puertos principales también hay infinidad de puertos secundarios y no conseguí hacerlo funcionar. Alguien ha echo un drop all en un ordenador personal y ha conseguido que funcione para todo el sistema. ¿Eso era una pregunta? :-) Si es así, ¿a qué te refieres con hacerlo funcionar para todo el sistema? Hay forma de hacer funcionar una regla para un rango y no tener que usar ip estática siempre en el pc en cuestión. ¿Es eso otra pregunta? :-) Si es así, sí claro, puedes filtrar los paquetes sobre un rango completo de direcciones. He encontrado siempre el mismo ejemplo (iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT) pero da error al activar el script, no acepta la máscara de red. Si no recuerdo mal, cuando estás jugando con iptables el orden de las reglas importa y mucho. Pon el comando que ejecutas y la salida, así como la lista de reglas que tienes cargadas. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/jspklt$69j$2...@dough.gmane.org
Re: iptables asesoramiento
En 29/06/12 01:29, Alberto Benítez escribiu: El día 28 de junio de 2012 15:49, Juan Lavierijlavi...@gmail.com escribió: Hola El 28/06/12 09:53, M.Vila escribió: Hola: Ando buscando recomendación para la configuración de iptables, para un pc personal. He visto diversas configuraciones y no me decido ni entiendo la eficacia de cada una. Normalmente los tutoriales con un drop all estan orientados a servers y no tengo muy claro que sea lo mejor para mi. Habitualmente salgo por squid, ¿es posible no tener que modificar la configuración? Yo te recomendaqría que instalaras firestarter http://www.fs-security.com/ Es bastante amigable, sencillo de usar y fácil de configurar. Además OpenSource y basado en iptables. Un saudo. No se qué es eso pero mando dos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fec6f01.1070...@gmail.com Creo que lo mejor es que lo entiendas e intentes hacer tus propias reglas, puede llegar a ser bastante complejo pero es muy util Mi idea es ir aprendiendo progresivamente. Ya he trasteado con su uso, pero por ahora me parece una herramienta demasiado potente. Yo por lo que veo hay diversas formas de hacer los filtrados, que radican sobre todo en criterios personales. Me podéis recomendar algún manual que a vuestro parecer fije, limpie y de esplendor. Graciasmil. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fed9042.2020...@gmail.com
Re: iptables asesoramiento
El vie, 29-06-2012 a las 13:23 +0200, M.Vila escribió: En 29/06/12 01:29, Alberto Benítez escribiu: El día 28 de junio de 2012 15:49, Juan Lavierijlavi...@gmail.com escribió: Hola El 28/06/12 09:53, M.Vila escribió: Hola: Ando buscando recomendación para la configuración de iptables, para un pc personal. He visto diversas configuraciones y no me decido ni entiendo la eficacia de cada una. Normalmente los tutoriales con un drop all estan orientados a servers y no tengo muy claro que sea lo mejor para mi. Habitualmente salgo por squid, ¿es posible no tener que modificar la configuración? Yo te recomendaqría que instalaras firestarter http://www.fs-security.com/ Es bastante amigable, sencillo de usar y fácil de configurar. Además OpenSource y basado en iptables. Un saudo. No se qué es eso pero mando dos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fec6f01.1070...@gmail.com Creo que lo mejor es que lo entiendas e intentes hacer tus propias reglas, puede llegar a ser bastante complejo pero es muy util Mi idea es ir aprendiendo progresivamente. Ya he trasteado con su uso, pero por ahora me parece una herramienta demasiado potente. Yo por lo que veo hay diversas formas de hacer los filtrados, que radican sobre todo en criterios personales. Me podéis recomendar algún manual que a vuestro parecer fije, limpie y de esplendor. Graciasmil. http://www.netfilter.org/documentation/index.html#documentation-howto en el orden que están ahí -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1340983279.2052.5.ca...@eeepc.ucasal.ar
Re: iptables asesoramiento
El 29/06/12 06:53, M.Vila escribió: En 29/06/12 01:29, Alberto Benítez escribiu: El día 28 de junio de 2012 15:49, Juan Lavierijlavi...@gmail.com escribió: Hola El 28/06/12 09:53, M.Vila escribió: Hola: Ando buscando recomendación para la configuración de iptables, para un pc personal. He visto diversas configuraciones y no me decido ni entiendo la eficacia de cada una. Normalmente los tutoriales con un drop all estan orientados a servers y no tengo muy claro que sea lo mejor para mi. Habitualmente salgo por squid, ¿es posible no tener que modificar la configuración? Yo te recomendaqría que instalaras firestarter http://www.fs-security.com/ Es bastante amigable, sencillo de usar y fácil de configurar. Además OpenSource y basado en iptables. Un saudo. No se qué es eso pero mando dos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fec6f01.1070...@gmail.com Creo que lo mejor es que lo entiendas e intentes hacer tus propias reglas, puede llegar a ser bastante complejo pero es muy util Mi idea es ir aprendiendo progresivamente. Ya he trasteado con su uso, pero por ahora me parece una herramienta demasiado potente. Yo por lo que veo hay diversas formas de hacer los filtrados, que radican sobre todo en criterios personales. Me podéis recomendar algún manual que a vuestro parecer fije, limpie y de esplendor. Graciasmil. Ok. Aquí tienes uno bastante bueno y sencillo http://www.pello.info/filez/firewall/iptables.html http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf (Es el mismo solo que en pdf y mas legible) Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fede2e4.6060...@gmail.com
Re: iptables asesoramiento
Hola El 28/06/12 09:53, M.Vila escribió: Hola: Ando buscando recomendación para la configuración de iptables, para un pc personal. He visto diversas configuraciones y no me decido ni entiendo la eficacia de cada una. Normalmente los tutoriales con un drop all estan orientados a servers y no tengo muy claro que sea lo mejor para mi. Habitualmente salgo por squid, ¿es posible no tener que modificar la configuración? Yo te recomendaqría que instalaras firestarter http://www.fs-security.com/ Es bastante amigable, sencillo de usar y fácil de configurar. Además OpenSource y basado en iptables. Un saudo. No se qué es eso pero mando dos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fec6f01.1070...@gmail.com
Re: iptables asesoramiento
El día 28 de junio de 2012 15:49, Juan Lavieri jlavi...@gmail.com escribió: Hola El 28/06/12 09:53, M.Vila escribió: Hola: Ando buscando recomendación para la configuración de iptables, para un pc personal. He visto diversas configuraciones y no me decido ni entiendo la eficacia de cada una. Normalmente los tutoriales con un drop all estan orientados a servers y no tengo muy claro que sea lo mejor para mi. Habitualmente salgo por squid, ¿es posible no tener que modificar la configuración? Yo te recomendaqría que instalaras firestarter http://www.fs-security.com/ Es bastante amigable, sencillo de usar y fácil de configurar. Además OpenSource y basado en iptables. Un saudo. No se qué es eso pero mando dos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fec6f01.1070...@gmail.com Creo que lo mejor es que lo entiendas e intentes hacer tus propias reglas, puede llegar a ser bastante complejo pero es muy util -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caldo7dkqdciyzvafff7octawjjnynln72rpy2354ls99wkc...@mail.gmail.com