alguien sabe d un how to para conf. iptables

Iniciado por Paul Young, 19 Agosto 2012, 08:03 AM

0 Miembros y 1 Visitante están viendo este tema.

Paul Young

me eh encontrado de un sin numero de tutoriales para configurar iptables en ubuntu 12.04, incluso en ubuntu-es, pero realmente cada que encuentro uno es diferente al anterior y pues ya tengo dudas de cual sera el mejor, no quisiera mover algo y que despues me arrepienta.

alguien me podria ayudar con esto :-\
Lo que sabemos es una gota de agua, lo que ignoramos es el océano
(Isaac Newton)


Jenag

Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

Paul Young

a ver Jenag,
por ejemplo: si copio y pego el siguiente script y creo el archivo y doy permisos de ejecucion, con ponerlo en el archivo /etc/rc.local podra arrancar con esas reglas???

Citar#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para proteger la propia máquina con DROP por defecto

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.
## Debemos decir de manera explicita qué es lo que queremos abrir

# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# A nuestra IP le dejamos todo
iptables -A INPUT -s 195.168.0.5 -j ACCEPT
iptables -A OUTPUT -d 195.168.0.5 -j ACCEPT

# Este es el servicio que DA la maquina a internet, por tanto todo paquete entrante se acepta para
# ese puerto y los salientes vinculados se aceptan.
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Ya tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas
/sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Permitimos la consulta a un primer DNS
/sbin/iptables -A INPUT -s 200.75.51.132 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.75.51.132 -p udp -m udp --dport 53 -j ACCEPT

# Permitimos la consulta a un segundo DNS
/sbin/iptables -A INPUT -s 200.75.51.133 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.75.51.133 -p udp -m udp --dport 53 -j ACCEPT

#Permitimos que nos hagan ping y responder a este:
/sbin/iptables -A INPUT -p ICMP --icmp-type 8 -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A OUTPUT -p ICMP --icmp-type 0 -m limit --limit 1/s -j ACCEPT

#Permitimos hacer ping a otras maquinas
/sbin/iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -i wlan0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A OUTPUT -o wlan0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A OUTPUT -o wlan0 -p ICMP --icmp-type 0 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p ICMP --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -i wlan0 -p ICMP --icmp-type 0 -m limit --limit 10/s -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p ICMP --icmp-type 8 -m limit --limit 1/s -j ACCEPT

##Permitir SSH
#para eth0, conexión cableada
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp -d 195.168.0.5 --dport 422 -j DNAT --to 195.168.0.5:22
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

#para wlan0, conexión inalambrica
/sbin/iptables -A OUTPUT -o wlan0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i wlan0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp -d 195.168.0.5 --dport 422 -j DNAT --to 195.168.0.5:22
/sbin/iptables -A INPUT -i wlan0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o wlan0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

##Configuración para thunderbird
##Configuración de SMTP
#Hotmail
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 587 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 587 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

#Gmail
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 465 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

##Configuración Recepción de Correos
#Hotmail - POP3/POP3S
/sbin/iptables -A INPUT -p tcp --sport 995 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 110 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT

#Gmail - IMAP/IMAP2/IMAPS
/sbin/iptables -A INPUT -p tcp --sport 993 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 143 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT

#Sendmail
/sbin/iptables -A INPUT -p tcp --sport 25 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -d 0/0 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT


##DDoS
#The following iptables rule will help you prevent the Denial of Service (DoS) attack on your webserver.
#La siguiente regla  de iptables ayudara a prevenir el ataque de denegación de servicio en tu servidor.
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

# Barrera de backup por si cambiamos a modo ACCEPT temporalmente
# Con esto protegemos los puertos reservados y otros well-known
#/sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP
#/sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1723 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 5432 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script
Lo que sabemos es una gota de agua, lo que ignoramos es el océano
(Isaac Newton)


Jenag

Citarpor ejemplo: si copio y pego el siguiente script y creo el archivo y doy permisos de ejecucion, con ponerlo en el archivo /etc/rc.local podra arrancar con esas reglas???
Si , no tiene porque darte problemas pero más vale que te lo adaptes a los programas y configuraciones que tú necesites.Ese script pertenece a dato000 , el mismo se lo elavoró , tú debes adaptartelo a tus redes que uses cómo por ejemplo empuesto tu a lo mejor no utilizas la interfaz (lo) cómo dato000 y utilizas wlan0 , wlan1 , etc y eso adaptarlo a tus configuraciones de tu s.o. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

dato000

buenas llegue tarde estaba de paseo descansando. En esta semana sigo mirando más sobre firewall, todo un arte la verdad.

el lo es el mismo siempre, el localhost es el localhost y siempre va a ser el localhost.

Ahora viejo, como dice Jenag (ohhh yeah que nena femme fatale ;) yeah) es una configuración muy personal, la tengo enfocada a una wlan (wlan0 para este caso, que siginifica que uso una conexión inalambrica así que ve verifando que conexión usas para conectarte a tu ESSID o cuenta, usa ifconfig y lo vas cambiando poco a poco, pero primero, lee las guias que dejo jenag, son excelentes:

http://www.pello.info/filez/IPTABLES_en_21_segundos.html
http://www.pello.info/filez/firewall/iptables.html

Hay que poner mucha atención a todo.
Ah y para arrancarlo no hay que copiar nada en ningún lado, yo guarde todos esos datos en un archivo "configuracion.sh" y lo corria desde mi carpeta de documentos:


sudo sh configuracion.sh


e iba verificando poco a poco como corria, lo que me dio más lata fue configurar el icmp, para hacer ping a otras conexiones salientes y el thunderbird, que fue en definitiva un karma total, si usas ese programa o cualquier otro parecido para verificar correos te servira, sino, simplemente borra esas lineas, ya que verificas desde página web, así que no es necesaria tanta linea.





Paul Young

oohh ssiii claro el script es de acuerdo a tu entorno...mas bien a lo que me refiero es en donde debo guardar el archivo... :P :P :P

Cita de: dato000 en 21 Agosto 2012, 14:38 PM

Ah y para arrancarlo no hay que copiar nada en ningún lado, yo guarde todos esos datos en un archivo "configuracion.sh" y lo corria desde mi carpeta de documentos:


sudo sh configuracion.sh




entonces lo unico es guardarlo con .sh  y guardarlo en x carpeta...por ejemplo /home/peke/Documentos/configuracion   :huh: :huh: :huh:
Lo que sabemos es una gota de agua, lo que ignoramos es el océano
(Isaac Newton)


dato000

#6
Cita de: peke2305 en 21 Agosto 2012, 23:13 PM
entonces lo unico es guardarlo con .sh  y guardarlo en x carpeta...por ejemplo /home/peke/Documentos/configuracion   :huh: :huh: :huh:

Xacto, haz la prueba y sufre jejejeje iptables es realmente un dolor de cabeza, pero al final uno termina sonriendo, te lo aseguro.

Un detalle que cai en cuenta hace poco, haciendo esa ejecución desde terminal "lo de sh" solo servira mientras dure tu sesión, cuando vuelvas a encender tu equipo tendras que hacerlo nuevamente. No se como hacerlo permanente, alguien con el dato, que honestamente, estoy en otras cosas.



SokarTefnut

Coincido completamente, si configuras las iptables,sobre todo en modo drop y las añades directamente para que se autoejecuten en el arranque corres el riesgo de autobloquearte u otra serie de problemas ,sobre todo si el equipo lo utilizan varias personas o está montado en una empresa.
Te puedes ahorrar las llamadas del tipo "es que yo antes podia usar emule y ahora no conecta"
mejor crear un script ,ir probando todos los servicios necesarios antes de añadirlo de forma definitiva.

La potencia y el control exaustivo de las iptables pueden ser un arma de doble filo.



"Saber romper medidas de seguridad no hace que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción"
-- Eric Raymond -- http://en.wikipedia.org/wiki/Eric_S._Raymond

dato000

Cita de: SokarTefnut en 23 Agosto 2012, 13:54 PM
La potencia y el control exaustivo de las iptables pueden ser un arma de doble filo.

Solo cuando no se usa apropiadamente, cuando uno ya sabe lo que hace y tanto probar el filo apunta para el otro XDD  :P :P, ummmmmmmmmmm me encanta iptables en el script, pero como es de sesión en sesión, cuando realmente este seguro del todo lo pondre en mi bash permanente.