iptables y firewall

Imagen de s4muelito

Forums: 

hola como estan nose que estoy haciendo mal pero el asunto es que tengo un server proxy centos 4.5 , lo que pasa es que tengo mi script pero al momento de entrar al messenger no funka lo mismo pasa con el gunbound nose que estoy haciendo mal porfavor ayudenme ahi les dejo el scripts
#!/bin/sh
## Reglas de firewall para ESCOLME
## Creado por mi

echo -n "Aplicando nuevas polícitas"

## Borro las Reglas Existentes
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Politicas por defecto en Aceptar
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Comienza el Filtrado
## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Dejamos que accesen al firewall desde la red local
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -j DROP

## Ahora comienza el filtrado desde la red local

# Abro el puerto de Navegación 80
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 80 -j ACCEPT

#creamos la regla para hacer transparente el squid
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 80 -j REDIRECT --to 3128

# Abro el puerto http seguro
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT

# Abro las consultas a DNS
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p udp --dport 53 -j ACCEPT

#aceptamos que entren al messenger
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 1863 -j ACCEPT

#acepto al gunbound
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 8352:8372 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p udp --dport 8352:8372 -j ACCEPT

#Abro los puertos para la gestión del correo electrónico
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 110 -j ACCEPT

#deniego el ares
iptables -A FORWARD -ipp2p -j DROP

# el resto a la M.
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -j DROP

# Enmascaro la red local
# Marco los paquetes con su ip de origen
iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE

# activo el forwarding en el firewall
echo 1 > /proc/sys/net/ipv4/ip_forward

## Cierro las entradas desde afuera
iptables -A INPUT -s 0.0.0.0/0 -p tcp -i eth1 --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -i eth1 --dport 1:1024 -j DROP

# Cierro el puerto del Webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP

echo " Reglas aplicadas... Verifique con iptables -L -n"

# Final del script

En la parte : # Enmascaro la

Imagen de Monkito

En la parte :

# Enmascaro la red local
# Marco los paquetes con su ip de origen
iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE

me parece que deberías poner -o eth1 ya que es con la que sales a Internet, en lugar de -o eth0 que es de tu lan.

------------
counter.li.org

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

De paso dale una reafinada y

Imagen de damage

De paso dale una reafinada y ponle mas seguridades, si tu server tiene ip publica estas recontra expuesto a que te hagan los "toques".

Saludos.

Keep The Fire Burning.....
Stryper 1988

La politica correcta al

Imagen de Root Bit

La politica correcta al momento de crear un firewall es:

"Niego todo por defecto y acepto solo lo que necesito"

En otras palabras usa un firewall con politicas DROP

Mayor informacion: www.netfilter.org

There are only 10 types people in the world:
Those who understand binary and those who don't

There are only 10 types people in the world:
Those who understand binary and those who don't

lo que quiero saber esque si

Imagen de s4muelito

lo que quiero saber esque si estoy haciendo bien en abrir los puertos del gunbound y del msn :( y que si el script esta bien laborado o si alguien tiene un script para una ciber me lo puede pasar porfavor con los puertos del msn y el gunboun irc abiertos :( y el ares cerrado ayudenme por favor por que ne mi ciber mucha gente descarga muchas cosas y me ponen la linea lentisima :( weon gracias de antemano :)

En la actualidad abrir o

Imagen de Monkito

En la actualidad abrir o cerrar puertos de un gestor de descargas de p2p es un tema un poco complicado, ya que la mayoría de ellos usan el puerto 80 para sus propósitos, y si lo bloqueas estás eliminando toda navegación web.

Si aún no te funciona el NAT, probastes cambiar la línea que te indiqué?

Como dicen arriba, es mejor crear un firewall con políticas por defecto DROP.

por ejemplo:

Políticas DROP
Acepto loopback

Acepto paquetes partes de una conexión relacionada o establecida previamente con las reglas de abajo:
(iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT)
(iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT)
(iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT)

Acemos un NAT con -o eth1 ya que es la interfaz externa

Acepto input icmp desde red interna
Redirecciono paquetes con destino al puerto 80 a mi proxy 8080
Acepto input al puerto 8080 de mi proxy
Acepto output desde mi server al puerto 53 para que mi proxy pueda hacer consultas DNS.
Acepto output desde mi server al puerto 80 de cualquier servidor web para que mi proxy pueda navegar sin problemas
Acepto Forward a puertos de navegación como: 80, 53, 25, 143, 110, 443, etc etc
Acepto puertos de mensajería: msn 1863, yahoo 5050, etc etc

Acepto alguna otra cosa que necesite como el ssh, ojo eso se debería aceptar sólo para la red interna.

y por si acaso quepan dudas con las políticas por defecto hacemos una barrera backup

iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP

y terminamos con un: service iptables save
ha, por cierto cuidado con el bit de forward, es necesario que esté activado (1).

Ya te dimos algunas bases, el resto es investigación que no te llevará mas de 30 minutos.

------------
counter.li.org

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

holas amigos molestandolos

Imagen de s4muelito

holas amigos molestandolos nuevamente trato de abrir los puertos de gunbound pero me dice no se puede conectar al servidor esos iptable los encontre en internet o nose que estoy ahciendo mal ayudene porfavor gracias de antemano
#acepto al gunbound
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 8352:8372 -j ACCEPT
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p udp --dport 8352:8372 -j ACCEPT

otro que encontre en internet
iptables -A FORWARD -s 0.0.0.0/0 -d 61.74.68.185 -p -tcp --dport 8372 -j ACCEPT
iptables -t nat POSROUTING - s 0.0.0.0/0 -d 61.74.68.185 -j MASQUERADE

Me imagino que tu LAN la

Imagen de Tul0X

Me imagino que tu LAN la tienes definida en la interface eth1, si fuese asi porque tienes esta regla
al comienzo de tu firewall ?

# Dejamos que accesen al firewall desde la red local
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -j DROP

Tienes politica por default ACCEPT, esto no te deberia provocar mayores complicaciones,
pero tu problema pasa netamente por el ordenamiento de tus reglas.

Saludos y suerte

Tul0x

Saludos

((Tul0X))