Solucionado: iptables -A INPUT -s MI.ip -p tcp -j ACCEPT iptables -A INPUT -s MI.ip -p udp -j ACCEPT iptables -A INPUT -s MI.ip -p icmp -j ACCEPT
Ya puedo consultar de mi server hacia afuera... Saludos ! El 30 de marzo de 2015, 13:01, angel jauregui <darkdiabl...@gmail.com> escribió: > La regla que hice para evitar problemas es que la politica OUTPUT sea > ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos > tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema. > > Pero OJO, veo que el server jala todo bien, el problema que veo ahora es > DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer > reglas tambien para conexion de adentor hacia afuera. > > Vere el link :D > > Saludos ! > > El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoa...@gmail.com> > escribió: > >> El 29 de marzo de 2015, 7:56 p. m., angel jauregui >> <darkdiabl...@gmail.com> escribió: >> > Pues para empezar visiblemente las reglas estan bien, pero cuando >> levanto >> > el firewall los puertos pasan de "open" a "filtered", y no permite >> conectar >> >> Muy interesante esta explicación, espero te sirva >> >> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap >> >> > :( >> > >> > El SSH si lo tengo abierto, pero lo omiti en mis reglas.... >> > >> > De momento estoy haciendo pruebas en una *VirtualBox* y como les >> comente, >> > las reglas no tiran error, pero me deja los puertos filtrados, en fin, >> > inaccesible el servicio :( >> > >> > Saludos ! >> > >> > El 28 de marzo de 2015, 18:15, José Roberto Alas < >> jrobertoa...@gmail.com> >> > escribió: >> > >> >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabl...@gmail.com>: >> >> > jajajajaja la volvi a regar.... hay va de nuez: >> >> > >> >> > # denegamos todo >> >> > iptables -P INPUT DROP # cancelamos >> >> entrada >> >> > iptables -P OUTPUT DROP # cancelamos >> >> salidas >> >> > iptables -P FORWARD DROP # cancelamos reencios >> >> > iptables -t nat -P PREROUTING DROP # cancelamos nat >> prerouting >> >> > iptables -t nat -P POSTROUTING DROP # cancelamos nat >> >> postrouting >> >> > >> >> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> >> reenvio >> >> > >> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> >> > 80 -j ACCEPT >> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> --dport >> >> > 443 -j ACCEPT >> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> >> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga >> >> acceso, para que no te desplaces hasta el equipo fisico. >> >> >> >> No esta de mas permitir el acceso por SSH, para administrar el server >> >> >> >> > >> >> > El 27 de marzo de 2015, 20:37, angel jauregui < >> darkdiabl...@gmail.com> >> >> > escribió: >> >> > >> >> >> Rayos... se copio y pego doble :S... hay va corregido: >> >> >> >> >> >> # denegamos todo >> >> >> iptables -P INPUT ACCEPT # cancelamos >> >> >> entrada >> >> >> iptables -P OUTPUT ACCEPT # cancelamos >> >> >> salidas >> >> >> iptables -P FORWARD ACCEPT # cancelamos >> reencios >> >> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >> >> >> prerouting >> >> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >> >> >> postrouting >> >> >> >> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> >> >> reenvio >> >> >> >> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> >> --dport >> >> >> 80 -j ACCEPT >> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> >> --dport >> >> >> 443 -j ACCEPT >> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> >> >> >> >> El 27 de marzo de 2015, 20:36, angel jauregui < >> darkdiabl...@gmail.com> >> >> >> escribió: >> >> >> >> >> >> Buen dia lista :D >> >> >>> >> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir >> solo >> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no >> quiero >> >> >>> cagarla y quedarme sin conexion jejejej :D >> >> >>> >> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, >> de >> >> >>> modo >> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden >> >> >>> checarlas y me den sus criticas: >> >> >>> >> >> >>> iptables -F >> >> >>> iptables -X >> >> >>> iptables -Z >> >> >>> iptables -t nat -F >> >> >>> >> >> >>> # denegamos todo >> >> >>> iptables -P INPUT ACCEPT # >> cancelamos >> >> >>> entrada >> >> >>> iptables -P OUTPUT ACCEPT # >> cancelamos >> >> >>> salidas >> >> >>> iptables -P FORWARD ACCEPT # cancelamos >> reencios >> >> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F >> >> >>> iptables -X >> >> >>> iptables -Z >> >> >>> iptables -t nat -F >> >> >>> >> >> >>> # denegamos todo >> >> >>> iptables -P INPUT ACCEPT # >> cancelamos >> >> >>> entrada >> >> >>> iptables -P OUTPUT ACCEPT # >> cancelamos >> >> >>> salidas >> >> >>> iptables -P FORWARD ACCEPT # cancelamos >> reencios >> >> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >> >> >>> prerouting >> >> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >> >> >>> postrouting >> >> >>> >> >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >> >> >>> reenvio >> >> >>> >> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> >> >>> --dport >> >> >>> 80 -j ACCEPT >> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >> >> >>> --dport >> >> >>> 443 -j ACCEPT >> >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >> >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >> >> >>> >> >> >>> Saludos ! >> >> >>> >> >> >>> -- >> >> >>> M.S.I. Angel Haniel Cantu Jauregui. >> >> >>> >> >> >>> Celular: (011-52-1)-899-871-17-22 >> >> >>> E-Mail: angel.ca...@sie-group.net >> >> >>> Web: http://www.sie-group.net/ >> >> >>> Cd. Reynosa Tamaulipas. >> >> >>> >> >> >> >> >> >> >> >> >> >> >> >> -- >> >> >> M.S.I. Angel Haniel Cantu Jauregui. >> >> >> >> >> >> Celular: (011-52-1)-899-871-17-22 >> >> >> E-Mail: angel.ca...@sie-group.net >> >> >> Web: http://www.sie-group.net/ >> >> >> Cd. Reynosa Tamaulipas. >> >> >> >> >> > >> >> > >> >> > >> >> > -- >> >> > M.S.I. Angel Haniel Cantu Jauregui. >> >> > >> >> > Celular: (011-52-1)-899-871-17-22 >> >> > E-Mail: angel.ca...@sie-group.net >> >> > Web: http://www.sie-group.net/ >> >> > Cd. Reynosa Tamaulipas. >> >> > _______________________________________________ >> >> > CentOS-es mailing list >> >> > CentOS-es@centos.org >> >> > http://lists.centos.org/mailman/listinfo/centos-es >> >> > >> >> >> >> >> >> -- >> >> Saludos, >> >> cheperobert >> >> _______________________________________________ >> >> CentOS-es mailing list >> >> CentOS-es@centos.org >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> > >> > >> > >> > -- >> > M.S.I. Angel Haniel Cantu Jauregui. >> > >> > Celular: (011-52-1)-899-871-17-22 >> > E-Mail: angel.ca...@sie-group.net >> > Web: http://www.sie-group.net/ >> > Cd. Reynosa Tamaulipas. >> > _______________________________________________ >> > CentOS-es mailing list >> > CentOS-es@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-es >> >> >> >> -- >> Saludos, >> cheperobert >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
