otra cosa importante es tener cuidado cuando cierras todo por defecto ya que hay softwares que abren un socket para comunicarse con otra pc y cuando viene viene hacia ese socket que quizas no sepas cual es (si lo sabes bravo) pero quizas si sepas de donde viene el paquete ok? solo esa aclaracion que me volvio loco a ultima hora
----- Original Message ----- From: "Cristian Mitchell" <[email protected]> To: "Soporte técnico para Software Libre y GNU/Linux." <[email protected]> Sent: Wednesday, April 22, 2009 6:00 PM Subject: Re: [linux-l] IPTABLES vs SCANEO DE PUERTOS El día 22 de abril de 2009 16:37, Eddoy Miranda Hidalgo <[email protected]> escribió: > brother yo acabe de hacer uno hace poco y te digo que el asunto es jodio > cuando uno no entiende lo que dicen las reglas del iptables... pero bueno > si > logras entederlas y sabes configurarlo te consejo poner DROP a INPUT por > defecto y luego vas abriendo poco a poco lo puertos que necesitas que > esten > abiertos.. por ahi anda un manualito de iptables en 21 seg (yo lo tengo) > que > me guie por ahi y logre entender lo que decia e hice el mio > > ----- Original Message ----- > From: "Leonel Hernández Grandela" <[email protected]> > To: <[email protected]> > Sent: Tuesday, April 21, 2009 7:05 PM > Subject: [linux-l] IPTABLES vs SCANEO DE PUERTOS > > > Saludos a t...@s los colegas ya tenia tiempo que no me presentaba por acá > pero bueno ya me es necesario acudir a los ams expertos en el tema de la > administracion de redes, pues surge ser que como ven en el nombre del > mensaje pues que desde fuera de mi red me le estan haciendo unos scans a > el > server mio que me lo dejan en calzones y temblando pues yo uso iptables y > quiero ver la forma de denegar todo tipo de scan ya sea un scan normal o > un > stealth scan. > > NOTA: yo tengo en el script de iptables la politica por defecto ACCEPT > creo > que ahi está el primer error pero bueno acá les dejo mi duda y esperando > su > ayuda :) gracias de antemano. > > ## Establecemos politica por defecto > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > --- > En el amor verdadero la distancia mas corta se hace la mas larga pero > sobre > esa distancia mas larga pueden ser construidos puentes...... > > --------------------------------------- > Red Telematica de Salud - Cuba > CNICM - Infomed > > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l > > _______________________________________________ > Cancelar suscripción > https://listas.softwarelibre.cu/mailman/listinfo/linux-l > Buscar en el archivo > http://listas.softwarelibre.cu/buscar/linux-l > Tu pregunta es muy interesante, y es por donde deven empesarse el tema de firewall 1.- las politicas por defecto en ACCEPT es lo mismo que dejar todo sin configurar 2.- la mas peligrosa es como dijo Eddoy en INPUT que es por la cual entran 3.- FORWARD y OUTPUT son mas para lo que pasa en la propia maquina, Resumen INPUT por defaul en DROP y habilitas las ips y/o puertos que desees que entren en tu maquina. OJO las solicitudes que hagas las respuestas son INPUT entonces tenes que poner una linea que relacione los INPUT con los OUTPUT y listo si nesesitas mas un ejemplo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -i io -j ACCEPT iptables -A INPUT -i 10.1.80.1 -p udp -m udp --dport 137:139 -j ACCEPT iptables -A INPUT -i 10.1.80.1 -p udp -m udp --dport 145 -j ACCEPT iptables -A INPUT -i 10.1.80.1 -p tcp -m tcp --dport 139 -j ACCEPT iptables -A INPUT -i 10.1.80.1 -p tcp -m tcp --dport 145 -j ACCEPT esto es para un samba, un ssh y localhost la primera regla no estoy seguro de la sintaxis -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente. _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
