Bloquear con iptables el port 443

Forums: 

Hola , cuando hago un scaneo con nmap a mi ip pública fija de mi router , me muestra el puerto 443 abierta también me dice que tengo proxy y todo eso , quisiera bloquearlo para que desde el exterior no aparesca esos datos , puse esta regla en mi iptables pero sigue apareciendo open.

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 1:443 -j DROP

No creo que necesites el "-m

Imagen de Monkito

No creo que necesites el "-m state --state NEW", tampoco el "1:443" sólo --dport 443, aunque esa línea puede funcionar, depende de otras que puedan coincidir antes de que llegue a ésta última.

si puedes publica el firewall completo, o salidas del comando iptables -nL.

------------
counter.li.org

Cogito Ergo Sum

Es esto lo que me muestra :

Es esto lo que me muestra :

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpts:1:443
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:1024
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1:1024
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1:139
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:1:139
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 STRING match "facebook" ALGO name bm TO 65535
ACCEPT all -- 192.168.0.7 0.0.0.0/0 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Teiens un script de iptables?

Imagen de Monkito

Teiens un script de iptables?, o sólo agregas las líneas directamente en consola?.

  1. Es una mejor práctica usar políticas por defecto en DROP, ya que permites sólo lo que necesitas, y el resto se bloquea por defecto
  2. la línea "ACCEPT all -- 0.0.0.0/0 0.0.0.0/0" del INPUT, está aceptando todas las conexiones, antes de que se puedan bloquear en las reglas subsiguientes..., pero me atrevo a pensar que es únicamente en la interfaz "lo".
  3. Si tu objetivo es bloquear las conexiones entrantes por el puerto 443 en el protocolo TCP, esa regla "state NEW tcp dpts:1:443" es al menos eficaz, pues conexiones legítimas no podrán establecerse ej https://tu.ip.pub/
  4. Toma en cuenta que los escaneadores de puertos pueden enviarte paquetes que no sean "NEW" en tal caso tu regla no registrará una coincidencia y se verá "open" gracias a las políticas por defecto.
  5. Si deseas cambiar las políticas por defecto te recomiendo que tengas acceso físico al equipo, ya que un mal paso podría dejarte sin acceso remoto.

------------
counter.li.org

Cogito Ergo Sum

Tengo un script de iptables y

Tengo un script de iptables y es aquí donde agrego las líneas , pero mis políticas por defecto están como ACCEPT , hay que cambiarles a todas por DROP y al cambiar no tendre ningún problema con mi iptables , los correos que en iptables tengo abierto los puertos 25 , 110 y con este cambio se solucionará los puertos que tengo abierto como mencionada la 443 desde el exterior.

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

no se te entiende...

Imagen de falcom

no se te entiende...
haber si colocas tu firewall en drop como politica x default, obvio q tienes q ir abriendo los puertos, 25..110 los q necesites...
si tu script de firewall esta en tu proxy entonces tendras tambien q abrir los puertos de navegacion----

Tienes que abrir los puertos

Imagen de deathUser

Tienes que abrir los puertos de los servicios que vas a proveer en el CHAIN INPUT y y también permitir la salide de paquetes de tu red interna si es que vas a natear o enmascarar, si no tienes o no quieres proxy transparente no tienes que redireccionar el 80 al 3128, si quieres porxy transparecnte, pues si ...

bye
;)

Al poner como drop INPUT ,

Al poner como drop INPUT , OUTPUT , FORWARD las polítcas por defecto no puedo navegar por internet en las estaciones no responde , tengo proxy no transparente adjunto config iptables.

# Permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

# localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# Navegacion desde el firewall
iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Navegacion del proxy
iptables -A INPUT -p tcp -m tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT

# Forward puerto 80
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.2/24 -d 0/0 -p udp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -d 192.168.0.2/24 -s 0/0 -p udp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Redireccionamos el port 80 to 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

Su ayuda.

Páginas