Si en ese servidor estas prestando servicio web, no hay necesidad ninguna de cerrar ese puerto.
Ridel Freijó Angerí Especialista Principal Joven Club Remedios III Telefono: 395112 email: ridel07...@vcl.jovenclub.cu "Vivir no es solo respirar" ________________________________________ De: gutl-l-boun...@jovenclub.cu [gutl-l-boun...@jovenclub.cu] En nombre de Adrian Martinez Perez [adrian11...@cha.jovenclub.cu] Enviado el: miércoles, 18 de mayo de 2011 07:03 a.m. Para: Lista cubana de soporte tecnico en Tecnologias Libres Asunto: [Gutl-l] ayuda en iptables Salu2 comunidad por estos dias me estuvieron tirando una revision desde el exterior y me encontraron lo siguiente puerto 80 abierto por la lan esto es una dificultad que no se como corregir aca les dejo mi iptables a ver como me podrian ayudar a resolver este problema soy en esto de iptables un ñame jejejejeje bueno aca les dejo mi iptable #!/bin/sh ########################### # Definicion de Variables # ########################### IPTABLES="/sbin/iptables" if [ ! -x ${IPTABLES} ]; then exit 0 fi echo -n "Aplicando Reglas de Firewall..." ################## # Limpiar reglas # ################## ${IPTABLES} -F ${IPTABLES} -X ${IPTABLES} -Z ${IPTABLES} -t nat -F ##################################### # Establecemos politica por defecto # ##################################### ${IPTABLES} -P INPUT DROP ${IPTABLES} -P OUTPUT ACCEPT ${IPTABLES} -P FORWARD DROP ${IPTABLES} -t nat -P PREROUTING ACCEPT ${IPTABLES} -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es la LAN y eth0 a la WAN #-- Permitir conexiones establecidas ${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #-- Permitir conexiones localhost ${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT #-- Permitir ping a la red LAN ${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT #-- Permitir Sincronización con el servidor de tiempo en la WAN ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m state --state NEW -j ACCEPT ############################### # NAT para el Correo y JABBER # ############################### #-- Aclaje al SMTP, POP3 y IMAP con conexión segura ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to-destination 192.168.54.3:25 # SMTP-TLS ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT --to-destination 192.168.54.3:995 # POP3-SSL ${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT --to-destination 192.168.54.3:993 # IMAP-SSL #-- Aceptamos que los clientes vayan al correo del servidor de la provincia con conexión segura ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 --dport 25 -j ACCEPT # SMTP-TLS ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 --dport 995 -j ACCEPT # POP3-SSL ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3 --dport 993 -j ACCEPT # IMAP-SSL # Clienet Jabber ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6 --dport 5223 -j ACCEPT ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6 --dport 5222 -j ACCEPT #-- Enmascaramiento de la LAN ${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE ############################################################################################################### ###################### # Reglas de Servicio # ###################### #-- Permitir la WWW para la LAN. ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m state --state NEW -j ACCEPT ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m state --state NEW -j ACCEPT ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m state --state NEW -j ACCEPT #-- Permitir el Proxy. ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m state --state NEW -j ACCEPT #-- Permitir Sincronización con el servidor de tiempo en la LAN ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m state --state NEW -j ACCEPT #-- Permitir FTP activo y pasivo ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m state --state NEW -j ACCEPT ${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m state --state NEW -j ACCEPT ${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m state --state NEW -j ACCEPT ${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m state --state NEW -j ACCEPT # Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp" echo 1 > /proc/sys/net/ipv4/ip_forward #-- Log de los paquetes de entrada negados #${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix "DROP INPUT: <- " #${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP OUTPUT: -> " #${IPTABLES} -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD DROP: <-> " echo " OK." en espera de ayuda y agradecido ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l Servicios de Correo Electrónico Joven Club Remedios www.vcl.jovenclub.cu/munic/remedios/ Servicios de Correo Electrónico Joven Club Remedios www.vcl.jovenclub.cu/munic/remedios/ ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l