El 18/05/11 10:04, Ridel Freijó Angerí escribió:
Si en ese servidor estas prestando servicio web, no hay necesidad ninguna de
cerrar ese puerto.
Ridel Freijó Angerí
Especialista Principal Joven Club Remedios III
Telefono: 395112 email: ridel07...@vcl.jovenclub.cu
"Vivir no es solo respirar"
________________________________________
De: gutl-l-boun...@jovenclub.cu [gutl-l-boun...@jovenclub.cu] En nombre de
Adrian Martinez Perez [adrian11...@cha.jovenclub.cu]
Enviado el: miércoles, 18 de mayo de 2011 07:03 a.m.
Para: Lista cubana de soporte tecnico en Tecnologias Libres
Asunto: [Gutl-l] ayuda en iptables
Salu2 comunidad
por estos dias me estuvieron tirando una revision desde el exterior y me
encontraron lo siguiente
puerto 80 abierto por la lan
esto es una dificultad que no se como corregir
aca les dejo mi iptables a ver como me podrian ayudar a resolver este
problema
soy en esto de iptables un ñame jejejejeje
bueno aca les dejo mi iptable
#!/bin/sh
###########################
# Definicion de Variables #
###########################
IPTABLES="/sbin/iptables"
if [ ! -x ${IPTABLES} ]; then
exit 0
fi
echo -n "Aplicando Reglas de Firewall..."
##################
# Limpiar reglas #
##################
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F
#####################################
# Establecemos politica por defecto #
#####################################
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
## Nota: eth1 es la LAN y eth0 a la WAN
#-- Permitir conexiones establecidas
${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#-- Permitir conexiones localhost
${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT
#-- Permitir ping a la red LAN
${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
#-- Permitir Sincronización con el servidor de tiempo en la WAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT
###############################
# NAT para el Correo y JABBER #
###############################
#-- Aclaje al SMTP, POP3 y IMAP con conexión segura
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT
--to-destination 192.168.54.3:25 # SMTP-TLS
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT
--to-destination 192.168.54.3:995 # POP3-SSL
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT
--to-destination 192.168.54.3:993 # IMAP-SSL
#-- Aceptamos que los clientes vayan al correo del servidor de la
provincia con conexión segura
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 25 -j ACCEPT # SMTP-TLS
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 995 -j ACCEPT # POP3-SSL
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 993 -j ACCEPT # IMAP-SSL
# Clienet Jabber
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5223 -j ACCEPT
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5222 -j ACCEPT
#-- Enmascaramiento de la LAN
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
###############################################################################################################
######################
# Reglas de Servicio #
######################
#-- Permitir la WWW para la LAN.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT
#-- Permitir el Proxy.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m
state --state NEW -j ACCEPT
#-- Permitir Sincronización con el servidor de tiempo en la LAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT
#-- Permitir FTP activo y pasivo
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m
state --state NEW -j ACCEPT
# Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"
echo 1> /proc/sys/net/ipv4/ip_forward
#-- Log de los paquetes de entrada negados
#${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix "DROP
INPUT:<- "
#${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP
OUTPUT: -> "
#${IPTABLES} -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD
DROP:<-> "
echo " OK."
en espera de ayuda y agradecido
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Servicios de Correo Electrónico
Joven Club Remedios
www.vcl.jovenclub.cu/munic/remedios/
Servicios de Correo Electrónico
Joven Club Remedios
www.vcl.jovenclub.cu/munic/remedios/
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
yo presto ese servicio pero interno no externo es decir localmente en el
joven club no externamente
ahhh y si es posible alguien me dice para que es el puerto 111
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
