Utilizando iptables , polipo y tor con vidalia.

Iniciado por Jenag, 11 Julio 2012, 15:31 PM

0 Miembros y 3 Visitantes están viendo este tema.

dato000

Como sabes que puertos abrir??

van 77 reglas. para tcp solamente??? no acepta udp??? ya no se usa??



Jenag

Cita de: dato000 en  4 Agosto 2012, 18:45 PM
Como sabes que puertos abrir??

van 77 reglas. para tcp solamente??? no acepta udp??? ya no se usa??
No , podría ser extra largo , que no cogería en un post de este tipo.Me refiero a otros iptables que utilizan ciertos servidores tipo : NSA , FBI , CIA , NASA y en otros servidores de otros paises.Udp si se usa pero para intentar no tener fugas cuando navegamos , ahí va la última parte de todo este iptables :
Citariptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 1:79 -j DROP && echo " regla-A ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 81:8117 -j DROP && echo " regla-B ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 8119:9049 -j DROP && echo " regla-C ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 9052:65535 -j DROP && echo " regla-D ok"
iptables -A OUTPUT -o wlan0 -p udp --dport 1:65535 --sport 1:65535 -j DROP && echo " regla-E ok"
echo " OK . Verifique que lo que se aplica con: iptables -L -n" && echo " regla-000 ok"
Se pueden endurecer todavía algo más pero me parece que no cogería en este post , espero que te sirva de ayuda y a la gente que lo utilice. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

Jenag

También no hay que olvidar cargar el iptables y guardarlo de la siguiente manera , por ejemplo en debian es :
Citarmodprobe ip_tables
iptables-save
y después de instalar y reiniciar.
iptables-save
Un apunte que se me pasaba por alto. :-*
En modo root.SuperUser. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

dato000

Me da como cosa aplicar estas reglas, no van a joderme algo??? jejeje


Citar

modprobe ip_tables
iptables-save
y después de instalar y reiniciar.
iptables-save

iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 1:79 -j DROP && echo " regla-A ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 81:8117 -j DROP && echo " regla-B ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 8119:9049 -j DROP && echo " regla-C ok"
iptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 9052:65535 -j DROP && echo " regla-D ok"
iptables -A OUTPUT -o wlan0 -p udp --dport 1:65535 --sport 1:65535 -j DROP && echo " regla-E ok"
echo " OK . Verifique que lo que se aplica con: iptables -L -n" && echo " regla-000 ok"


Ummmmmmmmmmmm primero leo los tutos, no haces más???? que afecta todo eso, mejor aún, podrias explicar que significa cada linea??? al ser pocas, pues podrias extender la catedra que aún tengo muy perdidas esas reglas en el cortafuegos.



dato000

Disculpen el doble post, es que finalmente implemente el iptables en mi maquina, y me siento seguro jajajaja

Citar
#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para proteger la propia máquina con DROP por defecto
## Pello Xabier Altadill Izura
## www.pello.info - pello@pello.info
## MODIFICADO POR dato000

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO denegado.
## Debemos decir de manera explicita qué es lo que queremos abrir

# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# A nuestra IP le dejamos todo
iptables -A INPUT -s 195.168.0.5 -j ACCEPT
iptables -A OUTPUT -d 195.168.0.5 -j ACCEPT

# Este es el servicio que DA la maquina a internet, por tanto todo paquete entrante se acepta para
# ese puerto y los salientes vinculados se aceptan.
/sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Permitimos que la maquina pueda salir a la web
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Ya tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

# Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas
/sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Permitimos la consulta a un primer DNS
/sbin/iptables -A INPUT -s 200.75.51.132 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.75.51.132 -p udp -m udp --dport 53 -j ACCEPT

# Permitimos la consulta a un segundo DNS
/sbin/iptables -A INPUT -s 200.75.51.133 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.75.51.133 -p udp -m udp --dport 53 -j ACCEPT

#Permitimos que nos hagan ping y responder a este:
/sbin/iptables -A INPUT -p ICMP --icmp-type 8 -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A OUTPUT -p ICMP --icmp-type 0 -m limit --limit 1/s -j ACCEPT

#Permitimos hacer ping a otras maquinas
/sbin/iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -i wlan0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
/sbin/iptables -A OUTPUT -o wlan0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

/sbin/iptables -A OUTPUT -o wlan0 -p ICMP --icmp-type 0 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p ICMP --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -i wlan0 -p ICMP --icmp-type 0 -m limit --limit 10/s -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p ICMP --icmp-type 8 -m limit --limit 1/s -j ACCEPT

# Barrera de backup por si cambiamos a modo ACCEPT temporalmente
# Con esto protegemos los puertos reservados y otros well-known
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 1723 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --dport 5432 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

Que tal nena???? que piensas, lo deje cerrado, y no se si le modificarias algo?????  ;-) ;-) ;-) ;-)



Jenag

CitarMe da como cosa aplicar estas reglas, no van a joderme algo??? jejeje
No tranquilo sería todo lo contrario con estas y otras reglas lo que haces es blindar o proteger tu s.o algo más y si se aplican bién
puedes hacerlo casí un 98% impenetrable , por lo menos con iptables.
No creo que te vayan a joder algo en tú sistema operativo , todo lo contrario debería ser beneficioso para él , en cuestión de seguridad.
CitarUmmmmmmmmmmmm primero leo los tutos, no haces más???? que afecta todo eso, mejor aún, podrias explicar que significa cada linea??? al ser pocas, pues podrias extender la catedra que aún tengo muy perdidas esas reglas en el cortafuegos.
Los tutos evidentemente no son mios , algunos son de Pello Xabier Altadill Izura y otras u otros autores.
Si tienes buenos manuales , deberías de entenderlos cómo mínimo pero claro deberían explicarlo mejor para los mortales a un nivel todavía algo más básico.
Por ejemplo en este :
Citariptables -A OUTPUT -o wlan0 -p udp --dport 1:65535 --sport 1:65535 -j DROP && echo " regla-E ok"
La salida através de la interfaz wlan0  y dejando todos los puertos de salida de udp , del 1 al 65535 cerrados.
En este casi de lo mismo :
Citariptables -A OUTPUT -o wlan0 -p tcp --dport 1:65535 --sport 9052:65535 -j DROP && echo " regla-D ok"
La salida por la interfaz wlan0 de los puertos tcp del 9052 al 65535 estarán cerrados.Y && echo " regla-D ok" durante el booteo de la máquina y registrado en un log nos dirá si la regla a fallado o no lo ha hecho.Todavía se pueden explicar mejor y creo que en algo me esto equivocando o dejando no explicado.
CitarQue tal nena???? que piensas, lo deje cerrado, y no se si le modificarias algo?????
Enfermita en verano tengo fiebre y qué modificaría pués depende de lo que quieras hacer con tus programas y tu s.o.Yo lo veo el tuyo , bastante restrictivo. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

Jenag

He pensado que de este tema tor , polipo hay que perfeccionarlos algo más de otra manera algo más eficiente pués las fugas que pueda tener tor no me gustan.Adastra tiene un hilo de cómo extender algo más allá la seguridad de sus conexiones.Si alguién puede aportar algo más de datos a este tema para mejorarlo que lo postee para que aprendamos todas y todos.Pués en el post en redes de Novata_inquieta sobre que puede hacer http://www.stayinvisible.com/ no me contenta que pueda sacar info de mi ip real , kernel que utilizo y algunos de datos más sensibles.Otros no me importan porque los tengo falseados , pero es un inconveniente.Por eso intentemos mejorar este post.Por favor. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

dato000

Cita de: Jenag en 29 Agosto 2012, 20:15 PM
He pensado que de este tema tor , polipo hay que perfeccionarlos algo más de otra manera algo más eficiente pués las fugas que pueda tener tor no me gustan.Adastra tiene un hilo de cómo extender algo más allá la seguridad de sus conexiones.Si alguién puede aportar algo más de datos a este tema para mejorarlo que lo postee para que aprendamos todas y todos.Pués en el post en redes de Novata_inquieta sobre que puede hacer http://www.stayinvisible.com/ no me contenta que pueda sacar info de mi ip real , kernel que utilizo y algunos de datos más sensibles.Otros no me importan porque los tengo falseados , pero es un inconveniente.Por eso intentemos mejorar este post.Por favor. :-*

ya seria comentarlo en el foro de tor, esa es mi meta, colaborar con el proyecto tor, y con Jdownloader (pero hay que saber java, y odio java, pero tendre que hacer el deber). lo de si saben mi ip, no me preocupa, pero que sepan exactamente lo que veo, ahora eso si es joderme la vida.

chica usas squid??? en tu localhost hace falta??? y porque en localhost?? porque no lo dejas al natural para que pruebes la navegación?? o tienes pensado montar u dns y dhcp para retransmitir datos con tu router??? vas a usar un repetidor o algo??



Jenag

#28
Citarchica usas squid??? en tu localhost hace falta??? y porque en localhost?? porque no lo dejas al natural para que pruebes la navegación?? o tienes pensado montar u dns y dhcp para retransmitir datos con tu router??? vas a usar un repetidor o algo??
Tengo instalado squid pero de momento no lo estoy usando.:o y en lo demás tienes razón lo dejo puesto al natural sin filtrar.:P Yo es que soy una maniática a la hora de filtrar pero si , lo dejo cómo tú me dices. :-*
Para comentarme algo : Evamr1991@openmailbox.org : Válido para Bots y Robots..

dato000

pues veo que estas filtrando a lo loco, pero tienes una politica de "ACCEPT" todo, asi que pues que gracia tiene usar tor? y viendo la configuración del TOR solo veo 3 comandos, que significan:

Citar
SocksPort 9050 # Default: Bind to localhost:9050 for local connections.
SocksListenAddress 127.0.0.1
SocksBindAddress 192.168.30.31

No me termina de encajar esos socks, es configuración de puertos estandar, o es cuando se usa eso de SOCKS4, SOCKS5 y HTTPS??