Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Las recomendaciones generales indicarían lo contrario. Es más sencillo determinar qué es lo que se desea permitir que TODO lo que no se desea. No sólo porque simplemente lo que no se desea es mucho más de lo que se desea sino principalmente porque se desconocen muchas de las cosas que no se desean (previene cosas que no se han descubierto aún) Estoy totalmente de acuerdo contigo, es mas sano bloquear todo y solo permitir lo que tu realmente quieras, y con respecto al problema ya lo resolví. Buscando en mi ruma de manuales que he conseguido googleando a través del tiempo, me percate en uno de ellos que colocaban: #FTP PASIVO iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT Esto para ftp pasivo, lo probé y funciono, aunque voy a seguir investigando porque igual el me esta dejando abiertos un lote de puertos que van del 1024 al 65535. Lo extraño es que le paso un nmap y me dice que tengo solo abiertos el 80, 443 y 21, que son los que estoy permitiendo a parte de los ya mencionados, si alguien sabe el porque se los agradecería. Att. Leonardo Vizcaya
Re: [OT] Políticas de Firewall (era: Firewall y FTP)
El Miércoles, 30 de Agosto de 2006 14:42, Leonardo Vizcaya escribió: Las recomendaciones generales indicarían lo contrario. Es más sencillo determinar qué es lo que se desea permitir que TODO lo que no se desea. No sólo porque simplemente lo que no se desea es mucho más de lo que se desea sino principalmente porque se desconocen muchas de las cosas que no se desean (previene cosas que no se han descubierto aún) Estoy totalmente de acuerdo contigo, es mas sano bloquear todo y solo permitir lo que tu realmente quieras, y con respecto al problema ya lo resolví. Buscando en mi ruma de manuales que he conseguido googleando a través del tiempo, me percate en uno de ellos que colocaban: #FTP PASIVO iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT Esto para ftp pasivo, lo probé y funciono, aunque voy a seguir investigando porque igual el me esta dejando abiertos un lote de puertos que van del 1024 al 65535. ¿No leśite la respuesta de Matías A.Bellone? en ella comentaba el problema de FTP por indicar los puerts de transferencia de datos dentro de paquetes de control, por lo que es necesario usar módulos del kernel para que averigue esas direcciones y abra dichos puertos: ip_conntrack_ftp (y si haces NAT también necesitas cargar el ip_nat_ftp). Lo extraño es que le paso un nmap y me dice que tengo solo abiertos el 80, 443 y 21, que son los que estoy permitiendo a parte de los ya mencionados, si alguien sabe el porque se los agradecería. nmap no revisa TODOS los puertos, sólo los habituales y encima asume que en cada uno escucha el servicio normal. Por ejemplo: Acabo de arrancar un servidor web webrick en el puerto 3000 y un namp me dice: 3000/tcp open ppp Ahora lo cierro y lo arranco en el 3002. Resulta que nmap ni siquiera menciona el puerto 3002. Lee la documentación de nmap a fondo, supongo que se puede forzar a que haga un examen más exhaustivo. -- Iñaki
Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Gracias Iñaki. ¿No leśite la respuesta de Matías A.Bellone? en ella comentaba el problema de FTP por indicar los puerts de transferencia de datos dentro de paquetes de control, por lo que es necesario usar módulos del kernel para que averigue esas direcciones y abra dichos puertos: ip_conntrack_ftp (y si haces NAT también necesitas cargar el ip_nat_ftp). Lo lei despues de Leer este :-P, bueno voy a tomar tu consejo y leere mas acerca de nmap.
Re: [OT] Políticas de Firewall (era: Firewall y FTP)
Leonardo Vizcaya escribió: #FTP PASIVO iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT Estas permitiendo la entrada y salida de tráfico desde y hacia puertos altos respectivamente. Con eso te quedas con el culo al aire. Mira el -m state --state ESTABLISHED,RELATED que te irá mejor. Tienes que tener el ftp_contrack activado en el núcleo. Saludos. Carlos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Políticas de Firewall (era: Firewall y FTP)
2006/8/30, Leonardo Vizcaya [EMAIL PROTECTED]: Las recomendaciones generales indicarían lo contrario. Es más sencillo determinar qué es lo que se desea permitir que TODO lo que no se desea. No sólo porque simplemente lo que no se desea es mucho más de lo que se desea sino principalmente porque se desconocen muchas de las cosas que no se desean (previene cosas que no se han descubierto aún) Estoy totalmente de acuerdo contigo, es mas sano bloquear todo y solo permitir lo que tu realmente quieras, y con respecto al problema ya lo resolví. Buscando en mi ruma de manuales que he conseguido googleando a través del tiempo, me percate en uno de ellos que colocaban: #FTP PASIVO iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT en la pregunta original no veo pasivo o activo? si es un server iptables -A INPUT -p tcp --dport 21 -j ACCEPT si es cliente iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT y para que se mantenga habierta la comunicacion iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT medio exagerado te faltaron 1024 para que tengas casi todo abierto por que solo se salvaron los udp Esto para ftp pasivo, lo probé y funciono, aunque voy a seguir investigando porque igual el me esta dejando abiertos un lote de puertos que van del 1024 al 65535. Lo extraño es que le paso un nmap y me dice que tengo solo abiertos el 80, 443 y 21, que son los que estoy permitiendo a parte de los ya mencionados, si alguien sabe el porque se los agradecería. Att. Leonardo Vizcaya -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inutiles cronicos, yo no fui, seguro que es mas inteligente.
[OT] Políticas de Firewall (era: Firewall y FTP)
Felipe Tornvall wrote: On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, mi script es este: #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP no uses drop por defecto no hay necesidad de eso. has un buen script y con eso estas. el drop es un medio demasiado violento. hay q permitir conexiones y cerrarlas adecuadamente Las recomendaciones generales indicarían lo contrario. Es más sencillo determinar qué es lo que se desea permitir que TODO lo que no se desea. No sólo porque simplemente lo que no se desea es mucho más de lo que se desea sino principalmente porque se desconocen muchas de las cosas que no se desean (previene cosas que no se han descubierto aún) Saludos, Toote -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
