Re: Firewall y FTP
On Wednesday 30 August 2006 13:33, Carlos Martinez wrote: > Felipe Tornvall escribió: > > On Tuesday 29 August 2006 19:58, Angel Claudio Alvarez wrote: > >> El mar, 29-08-2006 a las 19:31 -0400, Felipe Tornvall escribió: > >>> On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: > Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, > mi script es este: > > #!/bin/sh > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > >>> > >>> no uses drop por defecto no hay necesidad de eso. has un buen > >>> script y con eso estas. el drop es un medio demasiado violento. hay q > >>> permitir conexiones y cerrarlas adecuadamente > >> > >> En mi opinion DROP es la politica correcta. Solo debe pasar lo que uno > >> quiere que pase. > >> Acaso vos tenes la puerta de tu casa abierta a todo el mundo?? > >> > >>> -- > >>> ___ > >>> Felipe Tornvall N.lu: 400327 > >>> w: http://linux.pctools.cl > >>> Descarga de Distribuciones > > > > por suerte cada uno sabe como mejor funciona todo. en mi opinion un buen > > bridge es mejor q el uso de iptables, trabajar bajo nivel 2 ayuda en la > > estabilidad y segurida dde la red sin necesidad de dropear todo. > > > > bridge no tiene necesidad de dropear es cosa de direccionar correctamente > > al final pero como bien dije en un comienzo... depende de cada uno. > > Con ebtables? Siempre me ha llamado la atención filtrar a ese nivel. > Algún HOWTO, manualillo, etc. interesante? hay miles de uso para ebtables pero yo encontre q la mejor mezcla es iptables a nivel de bridge con snort bajo inline-mode+portsentry+logcheck+scanlogd+chkroot y obtienes buenas protecciones mezcla too eso de la manera q estimes conveniente y te olvidas del DROP * REJECT lo haces too con forward y QUEUE Saludos.. -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: Firewall y FTP
Felipe Tornvall escribió: On Tuesday 29 August 2006 19:58, Angel Claudio Alvarez wrote: El mar, 29-08-2006 a las 19:31 -0400, Felipe Tornvall escribió: On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, mi script es este: #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP no uses drop por defecto no hay necesidad de eso. has un buen script y con eso estas. el drop es un medio demasiado violento. hay q permitir conexiones y cerrarlas adecuadamente En mi opinion DROP es la politica correcta. Solo debe pasar lo que uno quiere que pase. Acaso vos tenes la puerta de tu casa abierta a todo el mundo?? -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones por suerte cada uno sabe como mejor funciona todo. en mi opinion un buen bridge es mejor q el uso de iptables, trabajar bajo nivel 2 ayuda en la estabilidad y segurida dde la red sin necesidad de dropear todo. bridge no tiene necesidad de dropear es cosa de direccionar correctamente al final pero como bien dije en un comienzo... depende de cada uno. Con ebtables? Siempre me ha llamado la atención filtrar a ese nivel. Algún HOWTO, manualillo, etc. interesante? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
Leonardo Vizcaya escribió: Me respondo, pero aun nada. he modificado el script asi: #!/bin/sh iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #FTP iptables -A INPUT -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT #WEB iptables -A INPUT -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT #WEB SSL iptables -A INPUT -p tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT ** le agrege dport a input y sport a output y ahora el nmap me muestra lo siguiente: (The 1669 ports scanned but not shown below are in state: filtered) PORTSTATE SERVICE 20/tcp closed ftp-data 21/tcp open ftp 22/tcp open ssh 80/tcp open http 443/tcp open https Nmap finished: 1 IP address (1 host up) scanned in 19.924 seconds Esta vez si me abrio el 21 pero el 20 me lo sigue cerrando y no me permite conectarme por ftp :-( Ojo con el FTP activo, que no creo que lo tengas muy claro. Revisa cómo funcionan las conexiones. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
#FTP iptables -A INPUT -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT Cojonudo, permites que te accedan siempre que el puerto de fuera sea el 21. PEro no permites en ningún lado el acceso a tu puerto 21!!! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
Buenos Dias y Gracias a Todos. Matías hice lo que me dijistes y lo que me dijo el compañero Felipe coloque: Para permitir el pasivo: iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT y Nada. Anteriormente buscando en mi ruma de manuales que he conseguido googleando a través del tiempo, me percate en uno de ellos que colocaban: (lo cual es algo muy parecido, diria yo que es lo mismo pero sin -m state y todo lo demas) #FTP PASIVO iptables -A INPUT -p tcp --sport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -j ACCEPT iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT Esto para ftp pasivo, lo probé y funciono, aunque voy a seguir investigando porque igual, por lo poco que entiendo, le estoy indicando que me abra un lote de puertos que van del 1024 al 65535. ¿o no? Lo extraño es que le paso un nmap y me dice que tengo solo abiertos el 80, 443 y 21, que son los que estoy permitiendo a parte de los ya mencionados, si alguien sabe el porque, se los agradecería. Estoy totalmente de acuerdo con Angel, es mas sano bloquear todo y solo permitir lo que tu realmente quieras. De echo DROP es la Recomendada.
Re: Firewall y FTP
On Tuesday 29 August 2006 19:58, Angel Claudio Alvarez wrote: > El mar, 29-08-2006 a las 19:31 -0400, Felipe Tornvall escribió: > > On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: > > > Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, > > > mi script es este: > > > > > > #!/bin/sh > > > > > > iptables -F > > > iptables -X > > > iptables -Z > > > iptables -t nat -F > > > > > > iptables -P INPUT DROP > > > iptables -P OUTPUT DROP > > > iptables -P FORWARD DROP > > > > no uses drop por defecto no hay necesidad de eso. has un buen > > script y con eso estas. el drop es un medio demasiado violento. hay q > > permitir conexiones y cerrarlas adecuadamente > > En mi opinion DROP es la politica correcta. Solo debe pasar lo que uno > quiere que pase. > Acaso vos tenes la puerta de tu casa abierta a todo el mundo?? > > > -- > > ___ > > Felipe Tornvall N. lu: 400327 > > w: http://linux.pctools.cl > > Descarga de Distribuciones por suerte cada uno sabe como mejor funciona todo. en mi opinion un buen bridge es mejor q el uso de iptables, trabajar bajo nivel 2 ayuda en la estabilidad y segurida dde la red sin necesidad de dropear todo. bridge no tiene necesidad de dropear es cosa de direccionar correctamente al final pero como bien dije en un comienzo... depende de cada uno. -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: Firewall y FTP
El mar, 29-08-2006 a las 19:31 -0400, Felipe Tornvall escribió: > On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: > > Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, mi > > script es este: > > > > #!/bin/sh > > > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > iptables -P INPUT DROP > > iptables -P OUTPUT DROP > > iptables -P FORWARD DROP > no uses drop por defecto no hay necesidad de eso. has un buen script > y > con eso estas. el drop es un medio demasiado violento. hay q permitir > conexiones y cerrarlas adecuadamente En mi opinion DROP es la politica correcta. Solo debe pasar lo que uno quiere que pase. Acaso vos tenes la puerta de tu casa abierta a todo el mundo?? > -- > ___ > Felipe Tornvall N.lu: 400327 > w: http://linux.pctools.cl > Descarga de Distribuciones > > -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: Firewall y FTP
On Tuesday 29 August 2006 12:20, Leonardo Vizcaya wrote: > Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, mi > script es este: > > #!/bin/sh > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP no uses drop por defecto no hay necesidad de eso. has un buen script y con eso estas. el drop es un medio demasiado violento. hay q permitir conexiones y cerrarlas adecuadamente -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
On Tuesday 29 August 2006 18:28, Matías A. Bellone wrote: > Leonardo Vizcaya wrote: > > Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, > > mi script es este: > > > > > > #FTP > > iptables -A INPUT -p tcp --sport 21 -j ACCEPT > > iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT > > > > iptables -A INPUT -p tcp --sport 20 -j ACCEPT > > iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT > > Por lo que leí ya hiciste la corrección acá. > > > me abre los puertos 80 y 443, pero el 20 y el 21 nada de nada, porque > > será¿?¿?¿? no entiendo, cada vez que aprendo mas de iptables me confunde > > mas. > > En realidad iptables no es tan complicado, lo que son complicados son > los protocolos. Si buscas en google verás que ftp negocia la > transferencia de datos por dentro del protocolo. > > Para eso deberás tener cargado y activado el módulo "ip_conntrack_ftp" > (que es el que le permite a iptables relacionar conexiones que salen del > FTP). Luego, gracias al módulo "state", que te permite saber si una > conexión está siendo establecida (NEW), ya fue establecida (ESTABLISHED) > o está relacionada a otra (RELATED) agregas las siguientes líneas [1] > para permitir FTP activo: > > iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED > -j ACCEPT > iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT > > Para permitir el pasivo: > > iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state > ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state > ESTABLISHED,RELATED -j ACCEPT > > Seguramente necesitarás algo similar para poder permitirlo con NAT; pero > eso te lo dejo de ejercicio [2]. > > > De ante mano gracias. > > Por nada. > > [1] No son de mi autoría, las saqué de > http://kalamazoolinux.org/presentations/20010417/conntrack.html > [2] Vale hacer trampa con google, seguro que lo encuentras por ahí #!/bin/sh echo "" echo "Inicio Firewall Pctools..." echo "" ifconfig eth0:0 192.168.0.99 && echo " alias ok" modprobe ip_tables modprobe ip_nat_ftp modprobe ip_conntrack_ftp iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -i lo -j ACCEPT && echo " localhost carga ok" iptables -A INPUT -p tcp --dport 80 -j ACCEPT && echo " regla-80 ok" iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT && echo " regla-22 ok" iptables -A OUTPUT -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT && echo " regla-20-21 ok" iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT ## lo de los pasivos es importante /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians iptables -N syn-flood iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP iptables -A INPUT -p tcp --dport 1:1024 && echo " regla drop ok" iptables -A INPUT -p udp --dport 1:1024 && echo " regla drop ok" -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Re: Firewall y FTP
Leonardo Vizcaya wrote: Buenas. Yo de nuevo pero esta vez es con un corta fuegos sobre un ftp, mi script es este: #FTP iptables -A INPUT -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT Por lo que leí ya hiciste la corrección acá. me abre los puertos 80 y 443, pero el 20 y el 21 nada de nada, porque será¿?¿?¿? no entiendo, cada vez que aprendo mas de iptables me confunde mas. En realidad iptables no es tan complicado, lo que son complicados son los protocolos. Si buscas en google verás que ftp negocia la transferencia de datos por dentro del protocolo. Para eso deberás tener cargado y activado el módulo "ip_conntrack_ftp" (que es el que le permite a iptables relacionar conexiones que salen del FTP). Luego, gracias al módulo "state", que te permite saber si una conexión está siendo establecida (NEW), ya fue establecida (ESTABLISHED) o está relacionada a otra (RELATED) agregas las siguientes líneas [1] para permitir FTP activo: iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT Para permitir el pasivo: iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Seguramente necesitarás algo similar para poder permitirlo con NAT; pero eso te lo dejo de ejercicio [2]. De ante mano gracias. Por nada. [1] No son de mi autoría, las saqué de http://kalamazoolinux.org/presentations/20010417/conntrack.html [2] Vale hacer trampa con google, seguro que lo encuentras por ahí -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
a ok gracias. ahora si va sin HTML. :-) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
El Martes, 29 de Agosto de 2006 21:14, Leonardo Vizcaya escribió: > >Sin HTML please ;). > > No e mandado HTML ¿?¿? sí, sí lo has mandado en HTML, mira: Ya lo desactive y nada, mas bien peor.>Y porfa darle responder a= todos o respondes en privadoYo le doy responder a todos, lo que pa= sa es que gmail t lo envia tambien a ti, voy a evitar eso.>Sin H= TML please ;). No e mandado HTML =BF?=BF?Gracias... Gmail POR DEFECTO envía en HTML, aunque no pinches en ningún iconito de formato de texto. Para enviar en texto plano pulsa "texno normal" o "formato de texto" (o algo así) justo entre el asunto y el cuerpo al componer el correo desde Gmail. Saludos. -- Iñaki
Re: Firewall y FTP
Ya lo desactive y nada, mas bien peor.>Y porfa darle responder a todos o respondes en privadoYo le doy responder a todos, lo que pasa es que gmail t lo envia tambien a ti, voy a evitar eso.>Sin HTML please ;). No e mandado HTML ¿?¿?Gracias...
Re: Firewall y FTP
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Leonardo Vizcaya escribió: > Hola Jose, en estos momentos estoy usando proftp, y si le digo ACCEPT a > INPUT y OUTPUT, todo bien, pero si lo cierro todo y coloco DROP, el > cliente gftp se me queda pasmado. > > y por consola usando ftp me responde: Unknown host. > > que crees que sea? Desactiva passive en tu cliente y prueba de nuevo :) Y porfa darle responder a todos o respondes en privado.. - -- ~ghostbar @ linux/debian 'unstable' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org CHASLUG -- http://chaslug.org.ve - irc.unplug.org.ve #chaslug Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFE9IZYOKCtW8rKsRgRAhadAJ9EBc1Tqs9NXCZLHAcH9V+fQJC8sgCguRrQ jJBw+iqw5D9qBhTQxWrhYrA= =t0Ca -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall y FTP
El Martes, 29 de Agosto de 2006 18:28, Leonardo Vizcaya escribió: > Me respondo, pero aun nada. > > he modificado el script asi: > > #!/bin/sh > > > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > > > iptables -P INPUT DROP > > iptables -P OUTPUT DROP > > iptables -P FORWARD DROP > > > > iptables -A INPUT -i lo -j ACCEPT > > iptables -A OUTPUT -o lo -j ACCEPT Sin HTML please ;)
Re: Firewall y FTP
Me respondo, pero aun nada.he modificado el script asi:#!/bin/sh iptables -Fiptables -Xiptables -Ziptables -t nat -Fiptables -P INPUT DROPiptables -P OUTPUT DROP iptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT#FTPiptables -A INPUT -p tcp --sport 21 -j ACCEPTiptables -A OUTPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A OUTPUT -p tcp --sport 21 -j ACCEPT iptables -A INPUT -p tcp --sport 20 -j ACCEPTiptables -A OUTPUT -p tcp --dport 20 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPTiptables -A OUTPUT -p tcp --sport 20 -j ACCEPT #WEBiptables -A INPUT -p tcp --sport 80 -j ACCEPTiptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT#WEB SSLiptables -A INPUT -p tcp --sport 443 -j ACCEPTiptables -A OUTPUT -p tcp --dport 443 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT**le agrege dport a input y sport a output y ahora el nmap me muestra lo siguiente:(The 1669 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE20/tcp closed ftp-data21/tcp open ftp22/tcp open ssh80/tcp open http443/tcp open httpsNmap finished: 1 IP address (1 host up) scanned in 19.924 seconds Esta vez si me abrio el 21 pero el 20 me lo sigue cerrando y no me permite conectarme por ftp :-(
