La regla que hice para evitar problemas es que la politica OUTPUT sea ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema.
Pero OJO, veo que el server jala todo bien, el problema que veo ahora es DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer reglas tambien para conexion de adentor hacia afuera. Vere el link :D Saludos ! El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoa...@gmail.com> escribió: > El 29 de marzo de 2015, 7:56 p. m., angel jauregui > <darkdiabl...@gmail.com> escribió: > > Pues para empezar visiblemente las reglas estan bien, pero cuando levanto > > el firewall los puertos pasan de "open" a "filtered", y no permite > conectar > > Muy interesante esta explicación, espero te sirva > > http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap > > > :( > > > > El SSH si lo tengo abierto, pero lo omiti en mis reglas.... > > > > De momento estoy haciendo pruebas en una *VirtualBox* y como les comente, > > las reglas no tiran error, pero me deja los puertos filtrados, en fin, > > inaccesible el servicio :( > > > > Saludos ! > > > > El 28 de marzo de 2015, 18:15, José Roberto Alas <jrobertoa...@gmail.com > > > > escribió: > > > >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabl...@gmail.com>: > >> > jajajajaja la volvi a regar.... hay va de nuez: > >> > > >> > # denegamos todo > >> > iptables -P INPUT DROP # cancelamos > >> entrada > >> > iptables -P OUTPUT DROP # cancelamos > >> salidas > >> > iptables -P FORWARD DROP # cancelamos reencios > >> > iptables -t nat -P PREROUTING DROP # cancelamos nat > prerouting > >> > iptables -t nat -P POSTROUTING DROP # cancelamos nat > >> postrouting > >> > > >> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de > >> reenvio > >> > > >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > --dport > >> > 80 -j ACCEPT > >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > --dport > >> > 443 -j ACCEPT > >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > >> > >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga > >> acceso, para que no te desplaces hasta el equipo fisico. > >> > >> No esta de mas permitir el acceso por SSH, para administrar el server > >> > >> > > >> > El 27 de marzo de 2015, 20:37, angel jauregui <darkdiabl...@gmail.com > > > >> > escribió: > >> > > >> >> Rayos... se copio y pego doble :S... hay va corregido: > >> >> > >> >> # denegamos todo > >> >> iptables -P INPUT ACCEPT # cancelamos > >> >> entrada > >> >> iptables -P OUTPUT ACCEPT # cancelamos > >> >> salidas > >> >> iptables -P FORWARD ACCEPT # cancelamos reencios > >> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat > >> >> prerouting > >> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat > >> >> postrouting > >> >> > >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de > >> >> reenvio > >> >> > >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > >> --dport > >> >> 80 -j ACCEPT > >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > >> --dport > >> >> 443 -j ACCEPT > >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > >> >> > >> >> El 27 de marzo de 2015, 20:36, angel jauregui < > darkdiabl...@gmail.com> > >> >> escribió: > >> >> > >> >> Buen dia lista :D > >> >>> > >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir > solo > >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no > quiero > >> >>> cagarla y quedarme sin conexion jejejej :D > >> >>> > >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, de > >> >>> modo > >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden > >> >>> checarlas y me den sus criticas: > >> >>> > >> >>> iptables -F > >> >>> iptables -X > >> >>> iptables -Z > >> >>> iptables -t nat -F > >> >>> > >> >>> # denegamos todo > >> >>> iptables -P INPUT ACCEPT # cancelamos > >> >>> entrada > >> >>> iptables -P OUTPUT ACCEPT # cancelamos > >> >>> salidas > >> >>> iptables -P FORWARD ACCEPT # cancelamos > reencios > >> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F > >> >>> iptables -X > >> >>> iptables -Z > >> >>> iptables -t nat -F > >> >>> > >> >>> # denegamos todo > >> >>> iptables -P INPUT ACCEPT # cancelamos > >> >>> entrada > >> >>> iptables -P OUTPUT ACCEPT # cancelamos > >> >>> salidas > >> >>> iptables -P FORWARD ACCEPT # cancelamos > reencios > >> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat > >> >>> prerouting > >> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat > >> >>> postrouting > >> >>> > >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de > >> >>> reenvio > >> >>> > >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > >> >>> --dport > >> >>> 80 -j ACCEPT > >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp > >> >>> --dport > >> >>> 443 -j ACCEPT > >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > >> >>> > >> >>> Saludos ! > >> >>> > >> >>> -- > >> >>> M.S.I. Angel Haniel Cantu Jauregui. > >> >>> > >> >>> Celular: (011-52-1)-899-871-17-22 > >> >>> E-Mail: angel.ca...@sie-group.net > >> >>> Web: http://www.sie-group.net/ > >> >>> Cd. Reynosa Tamaulipas. > >> >>> > >> >> > >> >> > >> >> > >> >> -- > >> >> M.S.I. Angel Haniel Cantu Jauregui. > >> >> > >> >> Celular: (011-52-1)-899-871-17-22 > >> >> E-Mail: angel.ca...@sie-group.net > >> >> Web: http://www.sie-group.net/ > >> >> Cd. Reynosa Tamaulipas. > >> >> > >> > > >> > > >> > > >> > -- > >> > M.S.I. Angel Haniel Cantu Jauregui. > >> > > >> > Celular: (011-52-1)-899-871-17-22 > >> > E-Mail: angel.ca...@sie-group.net > >> > Web: http://www.sie-group.net/ > >> > Cd. Reynosa Tamaulipas. > >> > _______________________________________________ > >> > CentOS-es mailing list > >> > CentOS-es@centos.org > >> > http://lists.centos.org/mailman/listinfo/centos-es > >> > > >> > >> > >> -- > >> Saludos, > >> cheperobert > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > > > > > > > > -- > > M.S.I. Angel Haniel Cantu Jauregui. > > > > Celular: (011-52-1)-899-871-17-22 > > E-Mail: angel.ca...@sie-group.net > > Web: http://www.sie-group.net/ > > Cd. Reynosa Tamaulipas. > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > -- > Saludos, > cheperobert > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
