Tu te has contestado, primero estableces la politica -P DROP luegos abres lo que quieres abrir, si colocas que las entradas establecidas y relacionadas queden aceptadas. mas abajo colocas que las que son nuevas entren, por lo tanto esas nuevas luego se trasnforman en establecidas y relacionedas,
Eso. Saludos El 16 de febrero de 2010 09:24, Maykel Franco Hernández <may...@maykel.es>escribió: > Gracias por contestar pero si por ejemplo mi politica para INPUT es > denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahí?? > Porque si habilito lo que yo quiera es porque yo quiero. Lo que me quiero > referir con esto es si quitando esas lineas tambien funcionaría todo. > > > > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT > > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT > > > > Eso es para acceptar las conexiones ya establecidas o relacionadas. > > > > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT > > > > y eso es lo mismo que > > > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > > > solo que hilando mas fino. y para puertos de destino (dport). > > > > Saludos > > > > El 16 de febrero de 2010 03:54, Maykel Franco Hernández > > <may...@maykel.es>escribió: > > > >> > Estimado, seguramente tienes activado tu server ftp para conexiones > >> > pasivas, > >> > por lo tanto debes abrir los puertos altos en el firewall... echale un > >> > vistazo a esto, a mi me soluciono el problema. > >> > > >> > > >> > http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables > >> > > >> > Saludos desde Chile. > >> > > >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández > >> > <may...@maykel.es>escribió: > >> > > >> >> Si te comento, solo uso una interface y el iptables está enel propio > >> >> servidor, es decir, no hay un servidor entre la red local y el router > >> >> que > >> >> funciona como firewall. La idea es aprender simplemente, y tengo un > >> >> servidor web, ssh, samba y ftp. Y la configuracion que he dejado me > >> >> funciona todo menos el ftp que se que hace el intento de conectarse > >> bien > >> >> pero se queda en la parte final y no lista el directorio y mi > >> consulta > >> >> era > >> >> esa porque funciona con esos servicios y no con ftp nada más. Un > >> saludo > >> >> y > >> >> gracias por interesarte. > >> >> > >> >> > >> >> > la cosa esta en que no has especificado la configuracion de tu > >> server, > >> >> al > >> >> > parecer solo estas usando una interface, ¿solo lo usas para web? > >> >> > ¿ cuantas tarjetas tienes de red tienes alli? > >> >> > > >> >> > Saludos > >> >> > > >> >> > > >> >> > Aland Laines Calonge > >> >> > Tecnico en Informatica > >> >> > > >> >> > > >> >> > > >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández > >> >> > <may...@maykel.es>escribió: > >> >> > > >> >> >> Gracias por contestar. Entonces lo que no sé es porque me funciona > >> el > >> >> >> servidor web tal y como está, ssh tambien me funciona y el samba > >> >> (puerto > >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin meter > >> reglas > >> >> de > >> >> >> entrada y salida o es que el ftp se comporta de distinta manera > >> >> porque > >> >> >> si > >> >> >> no, no lo entiendo... > >> >> >> > >> >> >> > >> >> >> > Hola, el problema esta en que cuando tienes las politicas en > >> drop > >> >> por > >> >> >> > defecto, las reglas para abrir un servicio deben ser de entrada > >> y > >> >> de > >> >> >> > salida, > >> >> >> > algo como: > >> >> >> > > >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state > >> >> --state > >> >> >> > ESTABLISHED -j ACCEPT > >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m state > >> >> --state > >> >> >> > NEW,ESTABLISHED -j ACCEPT > >> >> >> > donde $EXTIF es la tarjeta de red que va conectada al router. > >> >> >> > > >> >> >> > Saludos, > >> >> >> > > >> >> >> > Aland Laines Calonge > >> >> >> > Tecnico en Informatica > >> >> >> > > >> >> >> > > >> >> >> > > >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández > >> >> >> > <may...@maykel.es>escribió: > >> >> >> > > >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de iptables > >> >> para > >> >> >> >> servidores y tengo la siguiente configuracion basica: > >> >> >> >> > >> >> >> >> #!/bin/bash > >> >> >> >> > >> >> >> >> #-s Especifica una direcci�n de origen > >> >> >> >> #-d Especifica una direcci�n de destino > >> >> >> >> #-p Especifica un prototocolo > >> >> >> >> #-i Especifica un interface de entrada > >> >> >> >> #-o Especifica un interface de salida > >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete > >> >> >> >> #--sport Puerto de origen > >> >> >> >> #--dport Puerto de destino > >> >> >> >> > >> >> >> >> #Borrar todas las reglas > >> >> >> >> iptables -F > >> >> >> >> > >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo > >> >> solicitado > >> >> >> >> iptables -P INPUT DROP > >> >> >> >> iptables -P OUTPUT ACCEPT > >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j > >> ACCEPT > >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j > >> ACCEPT > >> >> >> >> > >> >> >> >> # Permitimos que se conecten a nuestro servidor web. > >> >> >> >> > >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j > >> ACCEPT > >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT > >> >> >> >> > >> >> >> >> # Permitimos la comunicaci�n con el servidor dns > >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT > >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT > >> >> >> >> > >> >> >> >> #Permitimos uso de ftp. > >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT > >> >> >> >> > >> >> >> >> > >> >> >> >> > >> >> >> >> La politica por defecto es rechazar todo lo que entra menos > >> para > >> >> el > >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente pero > >> el > >> >> ftp > >> >> >> no > >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e incluso he > >> >> >> probado > >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo > >> menos > >> >> el > >> >> >> ftp > >> >> >> >> que conecta bien pero al final de la conexion se queda colgado > >> y > >> >> no > >> >> >> >> logra > >> >> >> >> listarme los directorios. Nada más quitar la politica por > >> defecto > >> >> de > >> >> >> que > >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp correctamente(es > >> >> decir > >> >> >> >> que > >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal? > >> >> >> >> > >> >> >> >> _______________________________________________ > >> >> >> >> CentOS-es mailing list > >> >> >> >> CentOS-es@centos.org > >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es > >> >> >> >> > >> >> >> > _______________________________________________ > >> >> >> > CentOS-es mailing list > >> >> >> > CentOS-es@centos.org > >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es > >> >> >> > > >> >> >> > >> >> >> > >> >> >> _______________________________________________ > >> >> >> CentOS-es mailing list > >> >> >> CentOS-es@centos.org > >> >> >> http://lists.centos.org/mailman/listinfo/centos-es > >> >> >> > >> >> > _______________________________________________ > >> >> > CentOS-es mailing list > >> >> > CentOS-es@centos.org > >> >> > http://lists.centos.org/mailman/listinfo/centos-es > >> >> > > >> >> > >> >> > >> >> _______________________________________________ > >> >> CentOS-es mailing list > >> >> CentOS-es@centos.org > >> >> http://lists.centos.org/mailman/listinfo/centos-es > >> >> > >> > > >> > > >> > > >> > -- > >> > Rodrigo Julio Pérez > >> > Ingeniero en Gestión Informática > >> > > >> > "Todo el desorden del mundo proviene de las profesiones mal o > >> > mediocremente > >> > servidas" Gabriela Mistral > >> > _______________________________________________ > >> > CentOS-es mailing list > >> > CentOS-es@centos.org > >> > http://lists.centos.org/mailman/listinfo/centos-es > >> > > >> > >> > >> > >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto, estas > >> lineas que se añaden en algunas configuraciones de iptables para que > >> sirven??: > >> > >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT > >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT > >> > >> Y si para añadir puertos a servicios utilizo esto: > >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT > >> > >> Porque en algunos lados aparece así?? > >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT > >> > >> Gracias por todo, un saludo. > >> > >> > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > > > > > > > -- > > Rodrigo Julio Pérez > > Ingeniero en Gestión Informática > > > > "Todo el desorden del mundo proviene de las profesiones mal o > > mediocremente > > servidas" Gabriela Mistral > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- Rodrigo Julio Pérez Ingeniero en Gestión Informática "Todo el desorden del mundo proviene de las profesiones mal o mediocremente servidas" Gabriela Mistral
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es