Otro problema... Es que si reiniciar el firewall, debes volver a mencionar las politicas INPUT, FORWARD y OUTPUT, cambiandolas a ACCEPT, sino solamente estas vaciando iptables pero las politicas se quedan tal cual..
Saludos ! El 30 de marzo de 2015, 13:02, angel jauregui <darkdiabl...@gmail.com> escribió: > Solucionado: > > iptables -A INPUT -s MI.ip -p tcp -j ACCEPT > iptables -A INPUT -s MI.ip -p udp -j ACCEPT > iptables -A INPUT -s MI.ip -p icmp -j ACCEPT > > Ya puedo consultar de mi server hacia afuera... > > Saludos ! > > El 30 de marzo de 2015, 13:01, angel jauregui <darkdiabl...@gmail.com> > escribió: > >> La regla que hice para evitar problemas es que la politica OUTPUT sea >> ACCEPT, y solo DROP para INPUT y FORWARD, despues declarar los puertos >> tcp/udp con regla INPUT y FORWARD en ACCEPT, asi no da problema. >> >> Pero OJO, veo que el server jala todo bien, el problema que veo ahora es >> DESDE ADENTRO, no puedo hacer ping ni wget a nada... creo que hay que hacer >> reglas tambien para conexion de adentor hacia afuera. >> >> Vere el link :D >> >> Saludos ! >> >> El 30 de marzo de 2015, 12:54, José Roberto Alas <jrobertoa...@gmail.com> >> escribió: >> >>> El 29 de marzo de 2015, 7:56 p. m., angel jauregui >>> <darkdiabl...@gmail.com> escribió: >>> > Pues para empezar visiblemente las reglas estan bien, pero cuando >>> levanto >>> > el firewall los puertos pasan de "open" a "filtered", y no permite >>> conectar >>> >>> Muy interesante esta explicación, espero te sirva >>> >>> http://systemadmin.es/2009/12/diferencia-entre-open-closed-y-filtered-en-nmap >>> >>> > :( >>> > >>> > El SSH si lo tengo abierto, pero lo omiti en mis reglas.... >>> > >>> > De momento estoy haciendo pruebas en una *VirtualBox* y como les >>> comente, >>> > las reglas no tiran error, pero me deja los puertos filtrados, en fin, >>> > inaccesible el servicio :( >>> > >>> > Saludos ! >>> > >>> > El 28 de marzo de 2015, 18:15, José Roberto Alas < >>> jrobertoa...@gmail.com> >>> > escribió: >>> > >>> >> 2015-03-27 19:44 GMT-06:00, angel jauregui <darkdiabl...@gmail.com>: >>> >> > jajajajaja la volvi a regar.... hay va de nuez: >>> >> > >>> >> > # denegamos todo >>> >> > iptables -P INPUT DROP # cancelamos >>> >> entrada >>> >> > iptables -P OUTPUT DROP # cancelamos >>> >> salidas >>> >> > iptables -P FORWARD DROP # cancelamos reencios >>> >> > iptables -t nat -P PREROUTING DROP # cancelamos nat >>> prerouting >>> >> > iptables -t nat -P POSTROUTING DROP # cancelamos nat >>> >> postrouting >>> >> > >>> >> > echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >>> >> reenvio >>> >> > >>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> --dport >>> >> > 80 -j ACCEPT >>> >> > iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> --dport >>> >> > 443 -j ACCEPT >>> >> > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >>> >> > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >>> >> >>> >> Pues se ve que esta bien, pero dale permisos a una IP para que tenga >>> >> acceso, para que no te desplaces hasta el equipo fisico. >>> >> >>> >> No esta de mas permitir el acceso por SSH, para administrar el server >>> >> >>> >> > >>> >> > El 27 de marzo de 2015, 20:37, angel jauregui < >>> darkdiabl...@gmail.com> >>> >> > escribió: >>> >> > >>> >> >> Rayos... se copio y pego doble :S... hay va corregido: >>> >> >> >>> >> >> # denegamos todo >>> >> >> iptables -P INPUT ACCEPT # >>> cancelamos >>> >> >> entrada >>> >> >> iptables -P OUTPUT ACCEPT # >>> cancelamos >>> >> >> salidas >>> >> >> iptables -P FORWARD ACCEPT # cancelamos >>> reencios >>> >> >> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >>> >> >> prerouting >>> >> >> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >>> >> >> postrouting >>> >> >> >>> >> >> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >>> >> >> reenvio >>> >> >> >>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> >> --dport >>> >> >> 80 -j ACCEPT >>> >> >> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> >> --dport >>> >> >> 443 -j ACCEPT >>> >> >> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >>> >> >> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >>> >> >> >>> >> >> El 27 de marzo de 2015, 20:36, angel jauregui < >>> darkdiabl...@gmail.com> >>> >> >> escribió: >>> >> >> >>> >> >> Buen dia lista :D >>> >> >>> >>> >> >>> Quiero montar un firewall configurado por defecto en DROP y abrir >>> solo >>> >> >>> los puertos que quiero, pero como el servidor esta EN LINEA, no >>> quiero >>> >> >>> cagarla y quedarme sin conexion jejejej :D >>> >> >>> >>> >> >>> Es simple, solo voy a tener el servicio HTTP (puerto 80) abierto, >>> de >>> >> >>> modo >>> >> >>> que *hice las siguientes reglas* las cuales quiero ver si pueden >>> >> >>> checarlas y me den sus criticas: >>> >> >>> >>> >> >>> iptables -F >>> >> >>> iptables -X >>> >> >>> iptables -Z >>> >> >>> iptables -t nat -F >>> >> >>> >>> >> >>> # denegamos todo >>> >> >>> iptables -P INPUT ACCEPT # >>> cancelamos >>> >> >>> entrada >>> >> >>> iptables -P OUTPUT ACCEPT # >>> cancelamos >>> >> >>> salidas >>> >> >>> iptables -P FORWARD ACCEPT # cancelamos >>> reencios >>> >> >>> iptables -t nat -P PREROUTING ACCEPT #iptables -F >>> >> >>> iptables -X >>> >> >>> iptables -Z >>> >> >>> iptables -t nat -F >>> >> >>> >>> >> >>> # denegamos todo >>> >> >>> iptables -P INPUT ACCEPT # >>> cancelamos >>> >> >>> entrada >>> >> >>> iptables -P OUTPUT ACCEPT # >>> cancelamos >>> >> >>> salidas >>> >> >>> iptables -P FORWARD ACCEPT # cancelamos >>> reencios >>> >> >>> iptables -t nat -P PREROUTING ACCEPT # cancelamos nat >>> >> >>> prerouting >>> >> >>> iptables -t nat -P POSTROUTING ACCEPT # cancelamos nat >>> >> >>> postrouting >>> >> >>> >>> >> >>> echo 1 > /proc/sys/net/ipv4/ip_forward # activamos bit de >>> >> >>> reenvio >>> >> >>> >>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> >> >>> --dport >>> >> >>> 80 -j ACCEPT >>> >> >>> iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp >>> >> >>> --dport >>> >> >>> 443 -j ACCEPT >>> >> >>> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT >>> >> >>> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT >>> >> >>> >>> >> >>> Saludos ! >>> >> >>> >>> >> >>> -- >>> >> >>> M.S.I. Angel Haniel Cantu Jauregui. >>> >> >>> >>> >> >>> Celular: (011-52-1)-899-871-17-22 >>> >> >>> E-Mail: angel.ca...@sie-group.net >>> >> >>> Web: http://www.sie-group.net/ >>> >> >>> Cd. Reynosa Tamaulipas. >>> >> >>> >>> >> >> >>> >> >> >>> >> >> >>> >> >> -- >>> >> >> M.S.I. Angel Haniel Cantu Jauregui. >>> >> >> >>> >> >> Celular: (011-52-1)-899-871-17-22 >>> >> >> E-Mail: angel.ca...@sie-group.net >>> >> >> Web: http://www.sie-group.net/ >>> >> >> Cd. Reynosa Tamaulipas. >>> >> >> >>> >> > >>> >> > >>> >> > >>> >> > -- >>> >> > M.S.I. Angel Haniel Cantu Jauregui. >>> >> > >>> >> > Celular: (011-52-1)-899-871-17-22 >>> >> > E-Mail: angel.ca...@sie-group.net >>> >> > Web: http://www.sie-group.net/ >>> >> > Cd. Reynosa Tamaulipas. >>> >> > _______________________________________________ >>> >> > CentOS-es mailing list >>> >> > CentOS-es@centos.org >>> >> > http://lists.centos.org/mailman/listinfo/centos-es >>> >> > >>> >> >>> >> >>> >> -- >>> >> Saludos, >>> >> cheperobert >>> >> _______________________________________________ >>> >> CentOS-es mailing list >>> >> CentOS-es@centos.org >>> >> http://lists.centos.org/mailman/listinfo/centos-es >>> >> >>> > >>> > >>> > >>> > -- >>> > M.S.I. Angel Haniel Cantu Jauregui. >>> > >>> > Celular: (011-52-1)-899-871-17-22 >>> > E-Mail: angel.ca...@sie-group.net >>> > Web: http://www.sie-group.net/ >>> > Cd. Reynosa Tamaulipas. >>> > _______________________________________________ >>> > CentOS-es mailing list >>> > CentOS-es@centos.org >>> > http://lists.centos.org/mailman/listinfo/centos-es >>> >>> >>> >>> -- >>> Saludos, >>> cheperobert >>> _______________________________________________ >>> CentOS-es mailing list >>> CentOS-es@centos.org >>> http://lists.centos.org/mailman/listinfo/centos-es >>> >> >> >> >> -- >> M.S.I. Angel Haniel Cantu Jauregui. >> >> Celular: (011-52-1)-899-871-17-22 >> E-Mail: angel.ca...@sie-group.net >> Web: http://www.sie-group.net/ >> Cd. Reynosa Tamaulipas. >> > > > > -- > M.S.I. Angel Haniel Cantu Jauregui. > > Celular: (011-52-1)-899-871-17-22 > E-Mail: angel.ca...@sie-group.net > Web: http://www.sie-group.net/ > Cd. Reynosa Tamaulipas. > -- M.S.I. Angel Haniel Cantu Jauregui. Celular: (011-52-1)-899-871-17-22 E-Mail: angel.ca...@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
