Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Ramses 
El 25 de octubre de 2017 15:18:45 CEST, Juan Lavieri  
escribió:
>Hola.
>
>Ante todo por favor tomen nota que esta intervención no es una crítica
>ni algo por el estilo, mas bien veámoslo como una consulta en la misma
>corriente de la consulta original.
>
>
>El 25-10-2017 a las 08:16 a.m., JAP escribió:
>
>El 24/10/17 a las 22:41, u...@tutanota.de escribió: 
>
>
>Hola, como tuve inconvenientes con iptables-persistent y slim.  El
>Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando
>los metodos para la carga de un script con las reglas al inicio del
>sistema. Pero encontré tutoriales con varios años y no se si todavia
>sirven para las versiones actuales de Debian. 
>
>No se si colocarlo en /etc/network/if-pre-up.d 
>o en /etc/rc.local 
>
>Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
>donde colocar el script para Debian 8/9 
>
>Gracias, saludos 
>
>
>
>TODA la bibliografía de iptables recomienda crear las reglas en
>/etc/rc.local o colgar un script desde allí. 
>
>
>¿Han tomado el cuenta que la mayor parte de la información sobre
>iptables no está totalmente actualizada?
>
>Me explico.  Actualmente debian utiliza systemd como sistema de inicio
>y según tengo entendido, los scripts colocados en rc.local no se
>inician de manera automática.
>
>Esto hace que la mejor manera de manejar el arranque de los diferentes
>demonios sea mediante el propio systemd.
>
>Yo personalmente seguí las instruccines que se muestran aquí: 
>
>https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/
>
>luego de adaptarlas a mis necesidades.
>
>
>
>Desventaja: hay que ir probando de a una en una consola hasta que
>funcione como te guste, pues la construcción es a mano. Pero una vez
>logras lo que quieres, funciona sin inconvenientes. 
>
>Ventaja: al ejecutarse al final de la secuencia de arranque, te
>asegurás que todo está funcionando sin inconvenientes. Instalarlas como
>ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no
>funcione como es debido si has tenido un problema durante el proceso de
>configuración de la red en el arranque. 
>
>Si te estás metiendo con iptables, es porque estás profundizando tus
>conocimientos de GNU/Linux, por lo que las interfaces de configuración
>gráficas, no son lo mejor que tienes para aprender. 
>
>iptables-persistent es interesante, pero lo mejor, es empezar cada
>arranque con todo iptables limpio, y configurarlo línea a línea. 
>
>No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te
>puede dar una mano. 
>
>Saludos. 
>
>
>Saludos.
>-- Juan M Lavieri Errar es de humanos, pero es mas humano culpar a los
>demás. 

Juan, solo le veo un inconveniente a este método, y es que si, por ejemplo, 
tienes un software como fail2ban, que va agregando reglas a iptables, y no 
salvas y restauras las reglas en el momento de un reinicio, y reestableces solo 
las que hay en el script, fail2ban tiene que volver a orlas agregando conforme 
vayan atacando.

Lo mismo se podría modificar el script para que importara también las salvadas 
anteriormente.


Saludos,

Ramses

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema JAP 

El 25/10/17 a las 10:18, Juan Lavieri escribió:

Hola.

Ante todo por favor tomen nota que esta intervención no es una crítica 
ni algo por el estilo, mas bien veámoslo como una consulta en la misma 
corriente de la consulta original.



El 25-10-2017 a las 08:16 a.m., JAP escribió:

El 24/10/17 a las 22:41, u...@tutanota.de escribió:


Hola, como tuve inconvenientes con iptables-persistent y slim.  El 
Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando 
los metodos para la carga de un script con las reglas al inicio del 
sistema. Pero encontré tutoriales con varios años y no se si todavia 
sirven para las versiones actuales de Debian.


No se si colocarlo en /etc/network/if-pre-up.d
o en /etc/rc.local

Por favor me podrían recomendar cual es el lugar mas fiable y seguro 
en donde colocar el script para Debian 8/9


Gracias, saludos




TODA la bibliografía de iptables recomienda crear las reglas en 
/etc/rc.local o colgar un script desde allí.


¿Han tomado el cuenta que la mayor parte de la información sobre 
iptables no está totalmente actualizada?


man iptables
Actualizado a la versión 1.6.1 en "buster", que es la última, que con 
ipv6 anda que es una maravilla.


Y si te quedan dudas, http://netfilter.org/projects/iptables/




Me explico.  Actualmente debian utiliza systemd como sistema de inicio y 
según tengo entendido, los scripts colocados en rc.local no se inician 
de manera automática.


Sigue funcionando como siempre. La única diferencia es que se llama 
desde un script específico de systemd

El cual, si uno se anima, se puede toquetear al igual que /etc/rc.local.
Pero por una cuestión de costumbre, prefiero mantener las cosas en este 
viejo, pues es más fácil de ubicar.
Tal vez a futuro, lo más prolijo sería que /etc/rc.local se convierta en 
un enlace a /lib/systemd/system/rc-local.service


-
:~# cat /lib/systemd/system/rc-local.service
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.

# This unit gets pulled automatically into multi-user.target by
# systemd-rc-local-generator if /etc/rc.local is executable.
[Unit]
Description=/etc/rc.local Compatibility
ConditionFileIsExecutable=/etc/rc.local
After=network.target

[Service]
Type=forking
ExecStart=/etc/rc.local start
TimeoutSec=0
RemainAfterExit=yes
GuessMainPID=no
-

Lo único raro que hubo, fue que al principio, con "Jessie", 
/etc/rc.local no era "ejecutable por defecto",  y por ende, 
/lib/systemd/system/rc-local.service no lo ejecutaba, razón por la que 
había que cambiarle los permisos a mano.






Esto hace que la mejor manera de manejar el arranque de los diferentes 
demonios sea mediante el propio systemd.


Yo personalmente seguí las instruccines que se muestran aquí:

https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/

luego de adaptarlas a mis necesidades.




Desventaja: hay que ir probando de a una en una consola hasta que 
funcione como te guste, pues la construcción es a mano. Pero una vez 
logras lo que quieres, funciona sin inconvenientes.


Ventaja: al ejecutarse al final de la secuencia de arranque, te 
asegurás que todo está funcionando sin inconvenientes. Instalarlas 
como ejecución en /etc/network/if-pre-up.d puede hacer que a veces, no 
funcione como es debido si has tenido un problema durante el proceso 
de configuración de la red en el arranque.


Si te estás metiendo con iptables, es porque estás profundizando tus 
conocimientos de GNU/Linux, por lo que las interfaces de configuración 
gráficas, no son lo mejor que tienes para aprender.


iptables-persistent es interesante, pero lo mejor, es empezar cada 
arranque con todo iptables limpio, y configurarlo línea a línea.


No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te 
puede dar una mano.


Saludos.



Saludos.

--
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.


Según mi psicólogo, la culpa es de los padres...


--
JAP

https://wiki.debian.org/es/NormasLista

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Juan Lavieri 

  
  
Hola.
Ante todo por favor tomen nota que esta intervención no es
una crítica ni algo por el estilo, mas bien veámoslo como una
consulta en la misma corriente de la consulta original.


El 25-10-2017 a las 08:16 a.m., JAP
  escribió:

El
  24/10/17 a las 22:41, u...@tutanota.de escribió:
  
  

Hola, como tuve inconvenientes con iptables-persistent y slim.
 El Desktop manager me tarda como 2 minutos en aparecer. Estuve
buscando los metodos para la carga de un script con las reglas
al inicio del sistema. Pero encontré tutoriales con varios años
y no se si todavia sirven para las versiones actuales de Debian.


No se si colocarlo en /etc/network/if-pre-up.d

o en /etc/rc.local


Por favor me podrían recomendar cual es el lugar mas fiable y
seguro en donde colocar el script para Debian 8/9


Gracias, saludos



  
  
  TODA la bibliografía de iptables recomienda crear las reglas en
  /etc/rc.local o colgar un script desde allí.
  


¿Han tomado el cuenta que la mayor parte de la información sobre
iptables no está totalmente actualizada?

Me explico.  Actualmente debian utiliza systemd como sistema de
inicio y según tengo entendido, los scripts colocados en rc.local no
se inician de manera automática.

Esto hace que la mejor manera de manejar el arranque de los
diferentes demonios sea mediante el propio systemd.

Yo personalmente seguí las instruccines que se muestran aquí: 

https://blog.desdelinux.net/como-iniciar-reglas-de-iptables-automaticamente-en-systemd-archlinux/

luego de adaptarlas a mis necesidades.



  
  Desventaja: hay que ir probando de a una en una consola hasta que
  funcione como te guste, pues la construcción es a mano. Pero una
  vez logras lo que quieres, funciona sin inconvenientes.
  
  
  Ventaja: al ejecutarse al final de la secuencia de arranque, te
  asegurás que todo está funcionando sin inconvenientes. Instalarlas
  como ejecución en /etc/network/if-pre-up.d puede hacer que a
  veces, no funcione como es debido si has tenido un problema
  durante el proceso de configuración de la red en el arranque.
  
  
  Si te estás metiendo con iptables, es porque estás profundizando
  tus conocimientos de GNU/Linux, por lo que las interfaces de
  configuración gráficas, no son lo mejor que tienes para aprender.
  
  
  iptables-persistent es interesante, pero lo mejor, es empezar cada
  arranque con todo iptables limpio, y configurarlo línea a línea.
  
  
  No sé qué es lo que estás queriendo hacer, pero si lo comentas, se
  te puede dar una mano.
  
  
  Saludos.
  
  


Saludos.
-- 
Juan M Lavieri

Errar es de humanos, pero es mas humano culpar a los demás.

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema JAP 

El 24/10/17 a las 22:41, u...@tutanota.de escribió:


Hola, como tuve inconvenientes con iptables-persistent y slim.  El 
Desktop manager me tarda como 2 minutos en aparecer. Estuve buscando los 
metodos para la carga de un script con las reglas al inicio del sistema. 
Pero encontré tutoriales con varios años y no se si todavia sirven para 
las versiones actuales de Debian.


No se si colocarlo en /etc/network/if-pre-up.d
o en /etc/rc.local

Por favor me podrían recomendar cual es el lugar mas fiable y seguro en 
donde colocar el script para Debian 8/9


Gracias, saludos




TODA la bibliografía de iptables recomienda crear las reglas en 
/etc/rc.local o colgar un script desde allí.


Desventaja: hay que ir probando de a una en una consola hasta que 
funcione como te guste, pues la construcción es a mano. Pero una vez 
logras lo que quieres, funciona sin inconvenientes.


Ventaja: al ejecutarse al final de la secuencia de arranque, te asegurás 
que todo está funcionando sin inconvenientes. Instalarlas como ejecución 
en /etc/network/if-pre-up.d puede hacer que a veces, no funcione como es 
debido si has tenido un problema durante el proceso de configuración de 
la red en el arranque.


Si te estás metiendo con iptables, es porque estás profundizando tus 
conocimientos de GNU/Linux, por lo que las interfaces de configuración 
gráficas, no son lo mejor que tienes para aprender.


iptables-persistent es interesante, pero lo mejor, es empezar cada 
arranque con todo iptables limpio, y configurarlo línea a línea.


No sé qué es lo que estás queriendo hacer, pero si lo comentas, se te 
puede dar una mano.


Saludos.

--
JAP

https://wiki.debian.org/es/NormasLista

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-25 Por tema Mariano Cediel 
El 25 de octubre de 2017, 3:41,  escribió:

>
> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
> para la carga de un script con las reglas al inicio del sistema. Pero
> encontré tutoriales con varios años y no se si todavia sirven para las
> versiones actuales de Debian.
>
> No se si colocarlo en /etc/network/if-pre-up.d
> o en /etc/rc.local
>
> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
> donde colocar el script para Debian 8/9
>
> Gracias, saludos
>
>
>
siempre en /etc/network
entre que se ejecuta el servicio de network y se ejecuta el rc.local (que
es el último), pueden pasar milisegundos o minutos por un atasque de por
medio; y durante ese intervalo tu máquina NO está protegida,


-- 

[o - -  -   --  -
   (\   |  u d t
   (  \_('>  c c s
   (__(=_) s o ?
  -"=

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema OddieX 
El día 24 de octubre de 2017, 23:19, Fausto Disla  escribió:
> Hola,
>
> Me parece que en /etc/rc.local seria lo ideal
>
> Gracias
>
> On Oct 24, 2017 9:41 PM,  wrote:
>>
>>
>> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
>> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
>> para la carga de un script con las reglas al inicio del sistema. Pero
>> encontré tutoriales con varios años y no se si todavia sirven para las
>> versiones actuales de Debian.
>>
>> No se si colocarlo en /etc/network/if-pre-up.d
>> o en /etc/rc.local
>>
>> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
>> donde colocar el script para Debian 8/9
>>
>> Gracias, saludos
>>
>>
>


Opino igual, en rc.local seria lo mejor, pero si usas debian te
recomiendo usar Shorewall! Una vez que lo usas te olvidas de
iptables...

Re: Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema Fausto Disla 
Hola,

Me parece que en /etc/rc.local seria lo ideal

Gracias

On Oct 24, 2017 9:41 PM,  wrote:

>
> Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop
> manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos
> para la carga de un script con las reglas al inicio del sistema. Pero
> encontré tutoriales con varios años y no se si todavia sirven para las
> versiones actuales de Debian.
>
> No se si colocarlo en /etc/network/if-pre-up.d
> o en /etc/rc.local
>
> Por favor me podrían recomendar cual es el lugar mas fiable y seguro en
> donde colocar el script para Debian 8/9
>
> Gracias, saludos
>
>
>

Iptables - mejor metodo para cargar reglas al inicio del sistema

2017-10-24 Por tema u-01 

Hola, como tuve inconvenientes con iptables-persistent y slim.  El Desktop 
manager me tarda como 2 minutos en aparecer. Estuve buscando los metodos para 
la carga de un script con las reglas al inicio del sistema. Pero encontré 
tutoriales con varios años y no se si todavia sirven para las versiones 
actuales de Debian.
No se si colocarlo en /etc/network/if-pre-up.do en /etc/rc.local
 Por favor me podrían recomendar cual es el lugar mas fiable y seguro en donde 
colocar el script para Debian 8/9
Gracias, saludos