Re: cortafuegos

[Felix Perez]

El lun., 4 de feb. de 2019 a la(s) 00:10, luis godoy
(edicion.vi...@gmail.com) escribió:
>
> hola lista, ¿alguien sabe para que sirve la aplicacion "minissdpd", usa el 
> puerto 1900 udp,  la detecta el cortafuegos gufw.?

https://www.google.com/search?source=hp&ei=27JXXK-NE_XG5OUPg4-Q2Ac&q=minissdpd&btnK=Buscar+con+Google&oq=minissdpd&gs_l=psy-ab.3..0l2j0i30l8.2046.2046..3925...0.0..0.52.102.2..02j1..gws-wiz.0.M6zTE7AwhWQ



-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Re: Cortafuegos para servidor linux

[Marcel Sanchez Gongora]

On 04/18/2011 04:26 AM, Antonio wrote:

Hola a todos.

Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me hace 
de enrutador y cortafuegos de una red domestica. Para configurar el 
cortafuegos utilice firestarter, en su día lo configure con entorno gráfico y 
después lo configure como un servicio y esta máquina comenzó a trabajar como 
servidor. Firestarter se arrancaba automáticamente como cualquier otro servicio.
Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente, además 
desde linea de comandos no me funciona.


Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo 
podría hacer con iptables pero es complicado para mi, ¿Hay alguna alternativa 
para configurar un cortafuegos en un servidor sin entorno gráfico y de forma 
amigable?  Ya sea mediante web (tengo apache instalado) o una herramienta de 
linea de comandos que sea amigable.


Se que podría instalar una distro de las que se usan como cortafuegos, pero yo 
quiero una debian para instalar más cosas que también uso en este servidor.


Gracias y saludos.



ufw - program for managing a Netfilter firewall
gufw   - graphical user interface for ufw



--
No gastes pólvora en chimangos. -- Refrán argentino.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dba3e05.1070...@uci.cu

Re: Cortafuegos para servidor linux

[Edgar Vargas]

El 19/04/11, Antonio  escribió:
> El 18/04/2011 17:15, Camaleón escribió:
>> El Mon, 18 Apr 2011 10:26:57 +0200, Antonio escribió:
>>
>>> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
>>> hace de enrutador y cortafuegos de una red domestica. Para configurar el
>>> cortafuegos utilice firestarter, en su día lo configure con entorno
>>> gráfico y después lo configure como un servicio y esta máquina comenzó a
>>> trabajar como servidor. Firestarter se arrancaba automáticamente como
>>> cualquier otro servicio.
>>> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
>>> además desde linea de comandos no me funciona.
>> ¿No funciona? ¿Hiciste una actualización (lenny → squeeze) o instalaste
>> desde cero? ¿Te aparece algún error al arrancarlo o al iniciar el
>> sistema? :-?
>>
>>> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
>>> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
>>> alternativa para configurar un cortafuegos en un servidor sin entorno
>>> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
>>> instalado) o una herramienta de linea de comandos que sea amigable.
>>>
>>> Se que podría instalar una distro de las que se usan como cortafuegos,
>>> pero yo quiero una debian para instalar más cosas que también uso en
>>> este servidor.
>> En la wiki apuntan varias opciones:
>>
>> http://wiki.debian.org/Firewalls
>>
>> Saludos,
>>
> Muchas gracias a todos, lleváis razón en que lo que necesito es
> iptables, pero no se si dispongo del tiempo para aprender lo necesario,
> no me gusta hacer un copiar y pegar sin entender lo que hace.
> Probaré las alternativas que me comentáis para quedarme con la que mejor
> se me adapte.

Hola no es complicado yo también decia eso, pero es necesario copiar
porque los comandos ya estan dados para algunos requerimientos, es
cuestion de cambiar cosas, no lo veo cosa del otro mundo, y si te
aseguro que aprenderás mucho con iptables puedes hacer muchas cosas y
entederás el funcionamiento de bastantes cosas (valga la redundancia),
yo aprendo poco a poco no todo de golpe, paso paso, segun tus
necesidades, no son necesarios todos los comandos, saludos...

>
> He probado a purgar firestarter y reinstalar desde 0 pero el error se
> reproduce supongo que debería de cargar el entorno gráfico y probar a
> configurarlo, pero teniendo en cuenta que esta es la tercera migración
> (en su día instale la versión 4) que realizo sobre la máquina y que
> además he "jugado" mucho con ella, voy a instalar la versión 6 desde 0 y
> a dejar solo las cosas que necesito aprovechando para intentar aprender
> iptables.
>
> Un saludo.
>
> Un saludos y otra vez muchas gracias.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/4dad431b.1060...@yahoo.es
>
>


-- 
Edguit@r:
http://cybernautape.blogspot.com/


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/banlktikomyj6_3_d8pvukcpa_ip3t2v...@mail.gmail.com

Re: Cortafuegos para servidor linux

[Manuel Soto]

Pues, entonces tu caso es el mismo que el mío, a mi me fue de maravillas con 
shorewall

Tiene configuraciones ejemplo para casi todo, sólo tienes que crear un archivo 
pequeño y fácil para cada caso, aunque ya casi todos los casos están 
considerados y los puedes usar de caja  

Al final, uses lo que uses lo que hace es configurar a iptables quien se 
encarga de las reglas a nivel del kernel 

No tiene un gui para configurar pero ni hace falta, puedes usar webmin si 
quieres administrarlo remotamente 


Suerte 
MS
Este mensaje ha sido enviado usando un dispositivo móvil

-Original Message-
From: Antonio 
Date: Wed, 20 Apr 2011 09:51:01 
To: 
Subject: Re: Cortafuegos para servidor linux

El 19/04/2011 15:27, Manuel Soto escribió:
> Hola Antonio
>
> Si es para tu casa va bien la forma en que piensas, pero si es para el 
> trabajo mejor y te sinceras con tu jefe y deja que alguien lo haga, podrías 
> ellos podrían pensar que están protegidos.
>
> Este mensaje ha sido enviado usando un dispositivo móvil
>
> --
>
Es para mi uso personal, creo que ya lo he dicho. En el trabajo tenemos 
un cortafuegos que solo hace de cortafuegos, configurado con el soporte 
del vendedor y fabricante.
Aun así muchas gracias por tu consejo.



-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dae9065.7020...@yahoo.es

Re: Cortafuegos para servidor linux

[Antonio]

El 19/04/2011 15:27, Manuel Soto escribió:

Hola Antonio

Si es para tu casa va bien la forma en que piensas, pero si es para el trabajo 
mejor y te sinceras con tu jefe y deja que alguien lo haga, podrías ellos 
podrían pensar que están protegidos.

Este mensaje ha sido enviado usando un dispositivo móvil

--

Es para mi uso personal, creo que ya lo he dicho. En el trabajo tenemos 
un cortafuegos que solo hace de cortafuegos, configurado con el soporte 
del vendedor y fabricante.

Aun así muchas gracias por tu consejo.



--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dae9065.7020...@yahoo.es

Re: Cortafuegos para servidor linux

[Manuel Soto]

Hola Antonio 

Si es para tu casa va bien la forma en que piensas, pero si es para el trabajo 
mejor y te sinceras con tu jefe y deja que alguien lo haga, podrías ellos 
podrían pensar que están protegidos. 

Este mensaje ha sido enviado usando un dispositivo móvil

-Original Message-
From: Antonio 
Date: Tue, 19 Apr 2011 10:08:59 
To: 
Subject: Re: Cortafuegos para servidor linux

El 18/04/2011 17:15, Camaleón escribió:
> El Mon, 18 Apr 2011 10:26:57 +0200, Antonio escribió:
>
>> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
>> hace de enrutador y cortafuegos de una red domestica. Para configurar el
>> cortafuegos utilice firestarter, en su día lo configure con entorno
>> gráfico y después lo configure como un servicio y esta máquina comenzó a
>> trabajar como servidor. Firestarter se arrancaba automáticamente como
>> cualquier otro servicio.
>> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
>> además desde linea de comandos no me funciona.
> ¿No funciona? ¿Hiciste una actualización (lenny → squeeze) o instalaste
> desde cero? ¿Te aparece algún error al arrancarlo o al iniciar el
> sistema? :-?
>
>> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
>> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
>> alternativa para configurar un cortafuegos en un servidor sin entorno
>> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
>> instalado) o una herramienta de linea de comandos que sea amigable.
>>
>> Se que podría instalar una distro de las que se usan como cortafuegos,
>> pero yo quiero una debian para instalar más cosas que también uso en
>> este servidor.
> En la wiki apuntan varias opciones:
>
> http://wiki.debian.org/Firewalls
>
> Saludos,
>
Muchas gracias a todos, lleváis razón en que lo que necesito es 
iptables, pero no se si dispongo del tiempo para aprender lo necesario, 
no me gusta hacer un copiar y pegar sin entender lo que hace.
Probaré las alternativas que me comentáis para quedarme con la que mejor 
se me adapte.

He probado a purgar firestarter y reinstalar desde 0 pero el error se 
reproduce supongo que debería de cargar el entorno gráfico y probar a 
configurarlo, pero teniendo en cuenta que esta es la tercera migración 
(en su día instale la versión 4) que realizo sobre la máquina y que 
además he "jugado" mucho con ella, voy a instalar la versión 6 desde 0 y 
a dejar solo las cosas que necesito aprovechando para intentar aprender 
iptables.

Un saludo.

Un saludos y otra vez muchas gracias.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dad431b.1060...@yahoo.es

Re: Cortafuegos para servidor linux

[Gonzalo Rivero]

El día 19 de abril de 2011 05:08, Antonio  escribió:
> El 18/04/2011 17:15, Camaleón escribió:
>>
>> El Mon, 18 Apr 2011 10:26:57 +0200, Antonio escribió:
>>
>>> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
>>> hace de enrutador y cortafuegos de una red domestica. Para configurar el
>>> cortafuegos utilice firestarter, en su día lo configure con entorno
>>> gráfico y después lo configure como un servicio y esta máquina comenzó a
>>> trabajar como servidor. Firestarter se arrancaba automáticamente como
>>> cualquier otro servicio.
>>> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
>>> además desde linea de comandos no me funciona.
>>
>> ¿No funciona? ¿Hiciste una actualización (lenny → squeeze) o instalaste
>> desde cero? ¿Te aparece algún error al arrancarlo o al iniciar el
>> sistema? :-?
>>
>>> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
>>> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
>>> alternativa para configurar un cortafuegos en un servidor sin entorno
>>> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
>>> instalado) o una herramienta de linea de comandos que sea amigable.
>>>
>>> Se que podría instalar una distro de las que se usan como cortafuegos,
>>> pero yo quiero una debian para instalar más cosas que también uso en
>>> este servidor.
>>
>> En la wiki apuntan varias opciones:
>>
>> http://wiki.debian.org/Firewalls
>>
>> Saludos,
>>
> Muchas gracias a todos, lleváis razón en que lo que necesito es iptables,
> pero no se si dispongo del tiempo para aprender lo necesario, no me gusta
> hacer un copiar y pegar sin entender lo que hace.
aquí tenés un poco de teoría rápida:
http://www.netfilter.org/documentation/HOWTO/es/networking-concepts-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/es/packet-filtering-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/es/NAT-HOWTO.html

viene bien tener nociones básicas de redes

> Probaré las alternativas que me comentáis para quedarme con la que mejor se
> me adapte.
>
> He probado a purgar firestarter y reinstalar desde 0 pero el error se
> reproduce supongo que debería de cargar el entorno gráfico y probar a
> configurarlo, pero teniendo en cuenta que esta es la tercera migración (en
> su día instale la versión 4) que realizo sobre la máquina y que además he
> "jugado" mucho con ella, voy a instalar la versión 6 desde 0 y a dejar solo
> las cosas que necesito aprovechando para intentar aprender iptables.
>


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/banlktin_k6fywcep6pqysbbqrnglgyi...@mail.gmail.com

Re: Cortafuegos para servidor linux

[Antonio]

El 18/04/2011 17:15, Camaleón escribió:

El Mon, 18 Apr 2011 10:26:57 +0200, Antonio escribió:


Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
hace de enrutador y cortafuegos de una red domestica. Para configurar el
cortafuegos utilice firestarter, en su día lo configure con entorno
gráfico y después lo configure como un servicio y esta máquina comenzó a
trabajar como servidor. Firestarter se arrancaba automáticamente como
cualquier otro servicio.
Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
además desde linea de comandos no me funciona.

¿No funciona? ¿Hiciste una actualización (lenny → squeeze) o instalaste
desde cero? ¿Te aparece algún error al arrancarlo o al iniciar el
sistema? :-?


Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
podría hacer con iptables pero es complicado para mi, ¿Hay alguna
alternativa para configurar un cortafuegos en un servidor sin entorno
gráfico y de forma amigable?  Ya sea mediante web (tengo apache
instalado) o una herramienta de linea de comandos que sea amigable.

Se que podría instalar una distro de las que se usan como cortafuegos,
pero yo quiero una debian para instalar más cosas que también uso en
este servidor.

En la wiki apuntan varias opciones:

http://wiki.debian.org/Firewalls

Saludos,

Muchas gracias a todos, lleváis razón en que lo que necesito es 
iptables, pero no se si dispongo del tiempo para aprender lo necesario, 
no me gusta hacer un copiar y pegar sin entender lo que hace.
Probaré las alternativas que me comentáis para quedarme con la que mejor 
se me adapte.


He probado a purgar firestarter y reinstalar desde 0 pero el error se 
reproduce supongo que debería de cargar el entorno gráfico y probar a 
configurarlo, pero teniendo en cuenta que esta es la tercera migración 
(en su día instale la versión 4) que realizo sobre la máquina y que 
además he "jugado" mucho con ella, voy a instalar la versión 6 desde 0 y 
a dejar solo las cosas que necesito aprovechando para intentar aprender 
iptables.


Un saludo.

Un saludos y otra vez muchas gracias.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dad431b.1060...@yahoo.es

Re: Cortafuegos para servidor linux

[Juan Antonio]

El 19/04/11 05:20, consul tores escribió:
> El día 18 de abril de 2011 01:26, Antonio  escribió:
>> Hola a todos.
>>
>> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
>> hace de enrutador y cortafuegos de una red domestica. Para configurar el
>> cortafuegos utilice firestarter, en su día lo configure con entorno gráfico
>> y después lo configure como un servicio y esta máquina comenzó a trabajar
>> como servidor. Firestarter se arrancaba automáticamente como cualquier otro
>> servicio.
>> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente, además
>> desde linea de comandos no me funciona.
>>
>> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
>> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
>> alternativa para configurar un cortafuegos en un servidor sin entorno
>> gráfico y de forma amigable?  Ya sea mediante web (tengo apache instalado) o
>> una herramienta de linea de comandos que sea amigable.
>>
>> Se que podría instalar una distro de las que se usan como cortafuegos, pero
>> yo quiero una debian para instalar más cosas que también uso en este
>> servidor.
>>
>> Gracias y saludos.
> En mi opinion, si es cortafuegos y servidor; te conviene usar
> iptables, te paso algo como base"
>
> #!/bin/sh
>
> IPTABLES=/sbin/iptables
>
> # FLUSH de Reglas,Limpiar reglas anteriores:
> iptables -F
> iptables -X
> iptables -Z
> iptables -F -t nat
> iptables -X -t nat
> iptables -Z -t nat
> iptables -F -t mangle
> iptables -X -t mangle
> iptables -Z -t mangle
> iptables -F -t filter
> iptables -X -t filter
> iptables -Z -t filter
>
> # Definir regla/cadena/tabla FILTER:
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT ACCEPT
>
> # Aceptar todo para localhost:
> iptables -A INPUT -i lo -j ACCEPT && echo "Localhost OK"
>
> # Aceptar paquetes en estado establecido y relacionado
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT &&
> echo "Related OK"
>
> # Aceptar ssh -p 22:
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT && echo "SSH OK"
>
> # Aceptar www -p 80:
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT && echo "WWW OK"
>
> # Aceptar ftp -p 21:
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT && echo "ftp 21 OK"
> iptables -A INPUT -p tcp --dport 20 -j ACCEPT && echo "ftp 20 OK"
>
> # Aceptar Mail -p 110,143:
> iptables -A INPUT -p tcp --dport 110 -j ACCEPT && echo "e-mail 110 OK"
> iptables -A INPUT -p tcp --dport 143 -j ACCEPT && echo "e-mail 143 OK"
>
> # Reglas de cierre:
> # iptables -A INPUT -p tcp --dport 1:1024
> # iptables -A INPUT -p udp --dport 1:1024
>
> # Cerrar otros puertos abiertos:
> # iptables -A INPUT -p tcp --dport  -j DROP
>
> # Optativo: Registrar paquetes que van a ser desechados.
> iptables -A INPUT -j LOG --log-level 4 --log-prefix "Drop INPUT: "
>
> echo "Verifique con iptables -L -n"
> echo "Slackware /etc/rc.d/rc.firewall"
> echo "Debian /etc/network/if-up.d/firewall"
> echo "firewall activado"
>
> OJO:
> No solo lo copies, revisa la teoria, man iptables!
>
Hola,

sin ánimo de ofender a nadie con mi suspicacia, eso esta como para
lanzarlo en remoto.

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dad3e85.3020...@limbo.ari.es

Re: Cortafuegos para servidor linux

[consul tores]

El día 18 de abril de 2011 01:26, Antonio  escribió:
> Hola a todos.
>
> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
> hace de enrutador y cortafuegos de una red domestica. Para configurar el
> cortafuegos utilice firestarter, en su día lo configure con entorno gráfico
> y después lo configure como un servicio y esta máquina comenzó a trabajar
> como servidor. Firestarter se arrancaba automáticamente como cualquier otro
> servicio.
> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente, además
> desde linea de comandos no me funciona.
>
> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
> alternativa para configurar un cortafuegos en un servidor sin entorno
> gráfico y de forma amigable?  Ya sea mediante web (tengo apache instalado) o
> una herramienta de linea de comandos que sea amigable.
>
> Se que podría instalar una distro de las que se usan como cortafuegos, pero
> yo quiero una debian para instalar más cosas que también uso en este
> servidor.
>
> Gracias y saludos.

En mi opinion, si es cortafuegos y servidor; te conviene usar
iptables, te paso algo como base"

#!/bin/sh

IPTABLES=/sbin/iptables

# FLUSH de Reglas,Limpiar reglas anteriores:
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter

# Definir regla/cadena/tabla FILTER:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Aceptar todo para localhost:
iptables -A INPUT -i lo -j ACCEPT && echo "Localhost OK"

# Aceptar paquetes en estado establecido y relacionado
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT &&
echo "Related OK"

# Aceptar ssh -p 22:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT && echo "SSH OK"

# Aceptar www -p 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT && echo "WWW OK"

# Aceptar ftp -p 21:
iptables -A INPUT -p tcp --dport 21 -j ACCEPT && echo "ftp 21 OK"
iptables -A INPUT -p tcp --dport 20 -j ACCEPT && echo "ftp 20 OK"

# Aceptar Mail -p 110,143:
iptables -A INPUT -p tcp --dport 110 -j ACCEPT && echo "e-mail 110 OK"
iptables -A INPUT -p tcp --dport 143 -j ACCEPT && echo "e-mail 143 OK"

# Reglas de cierre:
# iptables -A INPUT -p tcp --dport 1:1024
# iptables -A INPUT -p udp --dport 1:1024

# Cerrar otros puertos abiertos:
# iptables -A INPUT -p tcp --dport  -j DROP

# Optativo: Registrar paquetes que van a ser desechados.
iptables -A INPUT -j LOG --log-level 4 --log-prefix "Drop INPUT: "

echo "Verifique con iptables -L -n"
echo "Slackware /etc/rc.d/rc.firewall"
echo "Debian /etc/network/if-up.d/firewall"
echo "firewall activado"

OJO:
No solo lo copies, revisa la teoria, man iptables!

-- 
           Consultores Agropecuarios.
Administracion, Produccion, Capacitacion.


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/banlktim+65n+zqfqxwk0yt1syexygvg...@mail.gmail.com

Re: Cortafuegos para servidor linux

[Manuel Soto]

Hola 
   Yo usaba shorewall que es muy fácil y versátil. 

Ciertamente el que usas esta destinado sl desktop gráfico,  al final lo que 
quieres es usar a iptables

No te hace falta cmbiar de distribución 
Saludos y suerte 
MS
Este mensaje ha sido enviado usando un dispositivo móvil

-Original Message-
From: Juan Antonio 
Date: Mon, 18 Apr 2011 10:50:36 
To: 
Subject: Re: Cortafuegos para servidor linux

El 18/04/11 10:26, Antonio escribió:
> Hola a todos.
>
> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y
> me hace de enrutador y cortafuegos de una red domestica. Para
> configurar el cortafuegos utilice firestarter, en su día lo configure
> con entorno gráfico y después lo configure como un servicio y esta
> máquina comenzó a trabajar como servidor. Firestarter se arrancaba
> automáticamente como cualquier otro servicio.
> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
> además desde linea de comandos no me funciona.
>
> Esto ha hecho que me plantee buscar una alternativa, se que todo esto
> lo podría hacer con iptables pero es complicado para mi, ¿Hay alguna
> alternativa para configurar un cortafuegos en un servidor sin entorno
> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
> instalado) o una herramienta de linea de comandos que sea amigable.
>
> Se que podría instalar una distro de las que se usan como cortafuegos,
> pero yo quiero una debian para instalar más cosas que también uso en
> este servidor.
>
> Gracias y saludos.
>
>
Hola,

quiza en squeeze no inicie automaticamente por que ha cambiado de
update-rc.d a insserv el cual requiere que se cumpla el LSB, tienes mas
info aqui http://wiki.debian.org/LSBInitScripts

En cuanto a "desde la línea de comandos no me funciona" ¿A qué te
refieres? ¿Qué no te funciona? ¿Puedes pegar la salida de lo que sea que
no te funciona?

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dabfb5c.7010...@limbo.ari.es

Re: Cortafuegos para servidor linux

[Juan Lavieri]

Hola

El 18/04/11 03:56, Antonio escribió:

Hola a todos.

Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y 
me hace de enrutador y cortafuegos de una red domestica. Para 
configurar el cortafuegos utilice firestarter, en su día lo configure 
con entorno gráfico y después lo configure como un servicio y esta 
máquina comenzó a trabajar como servidor. Firestarter se arrancaba 
automáticamente como cualquier otro servicio.
Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente, 
además desde linea de comandos no me funciona.


Esto ha hecho que me plantee buscar una alternativa, se que todo esto 
lo podría hacer con iptables pero es complicado para mi, ¿Hay alguna 
alternativa para configurar un cortafuegos en un servidor sin entorno 
gráfico y de forma amigable?  Ya sea mediante web (tengo apache 
instalado) o una herramienta de linea de comandos que sea amigable.
Definitivamente iptables es lo correcto aunque yo uso firestarter en mi 
testing desde hace bastante tiempo.


Quizás debieras intentar purgar (no solo desinstalar) el firestarter y 
reinstalarlo.


Sin embargo, siendo consistente con mi primera afirmación, si lo deseas 
puedo enviarte a tu privado un script para usar iptables que obtuve hace 
tiempo y que al parecer fue desarrollado por la gente de 
Netsecure.com.ar (ocupa menos de 6k).  En su página web ellos tienen 
unos videos tutoriales de iptables (en ingles y los dos últimos en español)


Si deseas puedes verlos en:

http://www.netsecure.com.ar/2010/04/13/iptables-tutoriales/

Además de eso si deseas mas documentación, en esa misma página hay una 
línea sobre el pingüino que dice:  No te olvides pasar por estos 
artículos de iptables 

las letras en azul son un enlace que te lleva a otras páginas de 
documentación.


Si deseas leer y conocer mas, la gente de bulma.net tiene muy buenos 
tutoriales pero para empezar el script que te menciono te puede ayudar 
bastante.


Se que podría instalar una distro de las que se usan como cortafuegos, 
pero yo quiero una debian para instalar más cosas que también uso en 
este servidor.


Gracias y saludos.



Saludos

Juan Lavieri


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dac7cea.1040...@gmail.com

Re: Cortafuegos para servidor linux

[Camaleón]

El Mon, 18 Apr 2011 10:26:57 +0200, Antonio escribió:

> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y me
> hace de enrutador y cortafuegos de una red domestica. Para configurar el
> cortafuegos utilice firestarter, en su día lo configure con entorno
> gráfico y después lo configure como un servicio y esta máquina comenzó a
> trabajar como servidor. Firestarter se arrancaba automáticamente como
> cualquier otro servicio.
> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
> además desde linea de comandos no me funciona.

¿No funciona? ¿Hiciste una actualización (lenny → squeeze) o instalaste 
desde cero? ¿Te aparece algún error al arrancarlo o al iniciar el 
sistema? :-?

> Esto ha hecho que me plantee buscar una alternativa, se que todo esto lo
> podría hacer con iptables pero es complicado para mi, ¿Hay alguna
> alternativa para configurar un cortafuegos en un servidor sin entorno
> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
> instalado) o una herramienta de linea de comandos que sea amigable.
> 
> Se que podría instalar una distro de las que se usan como cortafuegos,
> pero yo quiero una debian para instalar más cosas que también uso en
> este servidor.

En la wiki apuntan varias opciones:

http://wiki.debian.org/Firewalls

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/pan.2011.04.18.15.15...@gmail.com

Re: Cortafuegos para servidor linux

[José Gregorio Díaz Unda]

Hola Antonio.

"Firewall Builder" creo que puede ser una buena opción.

Saludos.

Jose Gregorio.

Enviado desde mi dispositivo movil BlackBerry® de Digitel.

Re: Cortafuegos para servidor linux

[Orlando Nuñez]

Saludos.

Ya que una vez se te ocurrio configurar desde firestarter desde una pc con 
interfaz grafica, si tienes otra pc con Debian 6, puedes configurarlo y llevar 
ese archivo a tu servidor, asignarle los permisos correspondientes y listo.

Con "scp archivo.conf roo@192.168.1.2:/ruta/destino/archivo.conf"

Este mensaje ha sido enviado gracias al servicio BlackBerry de Movilnet


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/1394068166-1303127219-cardhu_decombobulator_blackberry.rim.net-4845807...@bda232.bisx.prod.on.blackberry

Re: Cortafuegos para servidor linux

[Juan Antonio]

El 18/04/11 10:26, Antonio escribió:
> Hola a todos.
>
> Tengo un servidor con debian  5.0, lo tengo con dos tarjetas de red y
> me hace de enrutador y cortafuegos de una red domestica. Para
> configurar el cortafuegos utilice firestarter, en su día lo configure
> con entorno gráfico y después lo configure como un servicio y esta
> máquina comenzó a trabajar como servidor. Firestarter se arrancaba
> automáticamente como cualquier otro servicio.
> Al migrar a la 6.0 firestarter a dejado de funcionar automáticamente,
> además desde linea de comandos no me funciona.
>
> Esto ha hecho que me plantee buscar una alternativa, se que todo esto
> lo podría hacer con iptables pero es complicado para mi, ¿Hay alguna
> alternativa para configurar un cortafuegos en un servidor sin entorno
> gráfico y de forma amigable?  Ya sea mediante web (tengo apache
> instalado) o una herramienta de linea de comandos que sea amigable.
>
> Se que podría instalar una distro de las que se usan como cortafuegos,
> pero yo quiero una debian para instalar más cosas que también uso en
> este servidor.
>
> Gracias y saludos.
>
>
Hola,

quiza en squeeze no inicie automaticamente por que ha cambiado de
update-rc.d a insserv el cual requiere que se cumpla el LSB, tienes mas
info aqui http://wiki.debian.org/LSBInitScripts

En cuanto a "desde la línea de comandos no me funciona" ¿A qué te
refieres? ¿Qué no te funciona? ¿Puedes pegar la salida de lo que sea que
no te funciona?

Un saludo.


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4dabfb5c.7010...@limbo.ari.es

Re: Cortafuegos con iptables

[Iñigo Tejedor Arrondo]

El mar, 19-06-2007 a las 11:42 -0500, jesus erdeny andrade fandiño
escribió:
> nada que me funciona
> 
> aca pongo mi script para ver que puede estar mal:

Ya te dieron la respuesta, ánimo, necesitas cuatro reglas ;)

Lo que si me voy a permitir darte (si no te importa) es unos consejos
generales para tu cortafuegos:

* Lo primero las 3 políticas a DROP a todo y luego vas abriendo.
* Antes que el masquerade, es preferible el SNAT y el DNAT
* El man de iptables no muerde... suele ser más fiable que seguir una
entrada de blog copiada de otro blog y de un documento del 2002.
* Haz log del tráfico rechazado (en las tres políticas) a un fichero
separado y usa "limit" (man iptables y luego /LOG) para no romper los
cabezales de tu disco ante un DoS. Ojo a lo de separarlo, porque con la
acción LOG por defecto, debian te lo mete en tres sitios (man
syslog.conf) y luego el var se llena :P
* cuando algo no funcione, sigue estos pasos:
1) tcpdump en la interfaz de entrada de esos paquetes
2) tcpdump en la de salida
3) mirar el log donde mandes el iptables a ver que está rechazando
4) si es un nat, estudia el tcpdump a ver si realmente está cambiando
las IPs
5) si es una política de enrutamiento, comprueba donde se pierden los
paquetes (ve siguiendo las interfaces con el tcpdump)
6) prueba a cambiar las reglas en caliente (desde la línea de comandos)
si funcionan ya las agragarás a tu/tus script/librerías ;)

El tcpdump úsalo con parámetros ( -i eth0 host 192.168algo and port 80)

* Usa variables siempre que puedas (para las IPs, para las subredes,
para las interfaces, para los puertos, para el propio comando
iptables... si algún día decides cambiar algo en un cortafuegos con 20
subredes, 32 vlans, bonding, interfaces virtuales, bridging sobre vpn,
routing, miles de reglas, etc entenderás por que lo digo.

* El router, si es un ADSL (osea, una patata), mejor que lo pongas en
monopuesto y hagas de router con el cortafuegos.

* Mírate la salida de sysctl -a | grep net, y estudia como le afecta
cada valor a tu cortafuegos (y los que necesites úsalos
en /etc/sysctl.conf)

* Activa el completion para root (mira al final de /etc/skel/.bashrc) y
así cuando escribas reglas en la linea de comando, podrás usar el
tabulador :)

Esto son solo unos consejillos generales... aún quedan más cosas en el
tintero, pero EMHO, debías saberlos.

Saludos y ánimo.

P.D. yo para la salida por pantalla de la carga de reglas, uso el
fichero functions.sh de gentoo, que lo deja todo muy bonito, bien
formateado, con colores en función del resultado, se adapta al ancho y
tipo de consola, etc.

Pero sin irte tan lejos (en serio que el ebegin y el eend $? enganchan),
puedes hacer la salida por pantalla de esta otra manera:

comprobar (){
if [ $0 == 0 ] ; then echo [OK] ; else ; echo [ERROR] ; done
}

echo -n "Mensaje que quieras"
iptables blablabla
comprobar

Básicamente es lo mismo que el ebegin, pero en (muy) feo.



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Cortafuegos con iptables

[jesus erdeny andrade fandiño]

nada que me funciona

aca pongo mi script para ver que puede estar mal:

--
clear
LOCAL_HOST=192.168.1.1
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#redireccionamos todo lo peticionado al puerto 80 al proxy squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128 && echo "Regla Proxy 80: OK"

#todo lo que venga del exterior por el puerto 80 se envia al servidor apache
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT
--to-destination 192.168.1.203:80 && echo "Regla DNAT 80: OK"

# Todo lo que venga por el exterior y vaya al puerto 8080 lo
redirigimos al servidor TOMCAT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to
192.168.1.203:8080 && echo "Regla DNAT 8080: OK"

iptables -t nat -A POSTROUTING -d 192.168.1.203 -j SNAT --to-source
192.168.1.1 && echo "REGLA POSTROUTING 203:OK"
iptables -t nat -A PREROUTING  -m state --state RELATED,ESTABLISHED -j ACCEPT


## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT  && echo "Regla LOCALHOST FULL ACCESS: OK"

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT && echo "REGLA
ACCESO AL FIREWALL DESDE LA LAN: OK"

# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j
ACCEPT && echo "REGLA LAN A PUERTOS 80: OK"

#Aceptamos que vayan a puertos 8080
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 8080 -j
ACCEPT && echo "REGLA LAN A PUERTOS 8080: OK"

# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j
ACCEPT && echo "REGLA LAN A PUERTOS HTTPS: OK"

# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j
ACCEPT && echo "REGLA LAN A DNS TCP: OK"
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j
ACCEPT && echo "REGLA LAN A DNS UDP: OK"

# Y denegamos el resto. Si se necesita alguno, ya avisaran
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP && echo "REGLA
DENEGAR EL RESTO A LAN: OK"

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
&& echo "REGLA MAQUERADE TO LAN: OK"
echo 1 > /proc/sys/net/ipv4/ip_forward && echo "regla 11: ok"

# Cerramos el rango de puerto bien conocido NO FUNCIONA ERROR EN 60:80
(bad parameter)
#iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 60:80 -j DROP &&
echo "regla 12: ok"
#iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
&& echo "regla 13: ok"

# Cerramos un puerto de gestion webmin
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1 -j DROP &&
echo "regla 14: ok"

echo "REGLAS DE FIREWALL ESTABLECIDAS"
# Fin del script
--

lo que nesecito es que desde de un equipo de afuera (internet) pueda
ver las paginas qyue tengo en mi apache, no se que esta mal.

visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Cortafuegos con iptables

[Guimi]

jesus erdeny andrade fandiño escribió:

Hola a todos
Estoy tratando de configurar un cortafuegos en mi debian etch, tengo
un script dnd estan todas las reglas del cortafuegos, todas funcionan
menos esta regla:

---
#todo lo que venga del exterior por el puerto 80 se envia al servidor 
apache

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.203:80 && echo "Regla DNAT 80: OK"
---


La regla parece correcta. Pero tendrás que permitir no solo los paquetes 
que van al servidor web, sino también la respuesta de tu servidor web:


$IPTABLES -t nat -A PREROUTING  -m state --state RELATED,ESTABLISHED -j 
ACCEPT


Si no estás bloqueando la comunicación con ninguna otra regla, con eso 
debería funcionar.



(...)
muchas gracias por la atención prestada


Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Cortafuegos con iptables

[jesus erdeny andrade fandiño]

El 19/06/07, Manuel García <[EMAIL PROTECTED]> escribió:

Sí, para hacer eso que quieres necesitas 4 reglas, la de prerouting,
la depostrouting, la de input y la de output, para que el firewall
sepa exactamente que hacer con los paquetes.


Me podrian dar una mano, es que no se mucho acerca de configuracion de
cortafuegos, pero como quedarian esas 4 reglas?

gracias
--
visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/

Re: Cortafuegos con iptables

[Jose Julian Buda]

tengo entendido que solo si 192.168.1.1 no es el default gw de 192.168.1.203

en los escenarios que vi y es donde no es default gw, sin esa linea no andaba.

si es el default gw deberia andar sin nada




- Original Message - 
From: "jesus erdeny andrade fandiño" <[EMAIL PROTECTED]>
To: 
Sent: Tuesday, June 19, 2007 1:05 PM
Subject: Re: Cortafuegos con iptables


El 19/06/07, Jose Julian Buda <[EMAIL PROTECTED]> escribió:
> 192.168.1.1   es   el default gw de  192.168.1.203 ?
SIP asi es
>
> si no es asi los paquetes no van a saber volver y en ese caso
> deberias agregar algo asi
>
> iptables -t nat -A POSTROUTING -d 192.168.1.203 -j SNAT --to-source 
> 192.168.1.1

en todo caso debo poner esa regla?

visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/

Re: Cortafuegos con iptables

[Manuel García]

On 6/19/07, jesus erdeny andrade fandiño <[EMAIL PROTECTED]> wrote:

El 19/06/07, Jose Julian Buda <[EMAIL PROTECTED]> escribió:
> 192.168.1.1   es   el default gw de  192.168.1.203 ?
SIP asi es
>
> si no es asi los paquetes no van a saber volver y en ese caso
> deberias agregar algo asi
>
> iptables -t nat -A POSTROUTING -d 192.168.1.203 -j SNAT --to-source 
192.168.1.1

en todo caso debo poner esa regla?

visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/




Sí, para hacer eso que quieres necesitas 4 reglas, la de prerouting,
la depostrouting, la de input y la de output, para que el firewall
sepa exactamente que hacer con los paquetes.
--
Manuel Garcia a.k.a "mannyto"
Administrador de redes y servidores
Corporacion Lynqus
Debian GNU/Linux Testing codename "Lenny"

Re: Cortafuegos con iptables

[jesus erdeny andrade fandiño]

El 19/06/07, Jose Julian Buda <[EMAIL PROTECTED]> escribió:

192.168.1.1   es   el default gw de  192.168.1.203 ?

SIP asi es


si no es asi los paquetes no van a saber volver y en ese caso
deberias agregar algo asi

iptables -t nat -A POSTROUTING -d 192.168.1.203 -j SNAT --to-source 192.168.1.1


en todo caso debo poner esa regla?

visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/

Re: Cortafuegos con iptables

[Jose Julian Buda]

192.168.1.1   es   el default gw de  192.168.1.203 ?

si no es asi los paquetes no van a saber volver y en ese caso
deberias agregar algo asi

iptables -t nat -A POSTROUTING -d 192.168.1.203 -j SNAT --to-source 192.168.1.1 


creo
saludos
julian

- Original Message - 
From: "jesus erdeny andrade fandiño" <[EMAIL PROTECTED]>
To: 
Sent: Tuesday, June 19, 2007 12:30 PM
Subject: Cortafuegos con iptables


Hola a todos
Estoy tratando de configurar un cortafuegos en mi debian etch, tengo
un script dnd estan todas las reglas del cortafuegos, todas funcionan
menos esta regla:

---
#todo lo que venga del exterior por el puerto 80 se envia al servidor apache
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.203:80 && echo "Regla DNAT 80: OK"
---

lo que quiero con esta regla es que equipos de afuera (Internet)
puedan ver las paginas servidas en el servidor apache.

Nota:El cortafuegos y el servidor apache estan en equipos diferentes,
el servidor apache esta en un equipo con ip 192.168.1.203 y escucha
por el puerto 80 y el cortafuegos esta en un equipo con ip 192.168.1.1
en la eth1 y la eth0 es la interfaz externa.

¿tengo mal la regla? o como podria ser?
muchas gracias por la atención prestada








-- 
visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/

Re: Cortafuegos con iptables

[Manuel García]

On 6/19/07, jesus erdeny andrade fandiño <[EMAIL PROTECTED]> wrote:

Hola a todos
Estoy tratando de configurar un cortafuegos en mi debian etch, tengo
un script dnd estan todas las reglas del cortafuegos, todas funcionan
menos esta regla:

---
#todo lo que venga del exterior por el puerto 80 se envia al servidor apache
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.203:80 && echo "Regla DNAT 80: OK"
---

lo que quiero con esta regla es que equipos de afuera (Internet)
puedan ver las paginas servidas en el servidor apache.

Nota:El cortafuegos y el servidor apache estan en equipos diferentes,
el servidor apache esta en un equipo con ip 192.168.1.203 y escucha
por el puerto 80 y el cortafuegos esta en un equipo con ip 192.168.1.1
en la eth1 y la eth0 es la interfaz externa.

¿tengo mal la regla? o como podria ser?
muchas gracias por la atención prestada








--
visita http://parquesoftibague.com/
juega http://ogame.com.es/
riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/




La regla deberia ser:
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT
--to-destination 192.168.1.203:80
Y si quieres que se ejecute el echo, el resultado de aplicar esa regla
capturalo en una variable y la pasas por un if, para saber como hacer
eso te recomiendo el beginners bash scripting que está en es.tldp.org.
--
Manuel Garcia a.k.a "mannyto"
Administrador de redes y servidores
Corporacion Lynqus
Debian GNU/Linux Testing codename "Lenny"

Re: cortafuegos

[coin]

Firestarter creo que es la solución.


On Sun, 24 Oct 2004 01:18:23 -0600, Christian Frausto Bernal
<[EMAIL PROTECTED]> wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Antonio Trujillo Carmona wrote:
> | ¿me podes aconsegar alguno que sea facil de administrar via web o por el
> | webmin?
> 
> Tal vez esto te ayude: "IPtables Configuration Webmin Module"
> 
> http://www.niemueller.de/webmin/modules/iptables/
> 
> Saludos,
> 
> - --
> Christian Frausto Bernal
> http://www.conocimientopractico.com
> http://www.conpra.com/cfrausto.gpg
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.2.4 (GNU/Linux)
> Comment: Using GnuPG with Debian - http://enigmail.mozdev.org
> 
> iD8DBQFBe1c/n9a3KM4uVGwRApwRAJ9A7QLt5W3n6wN8UojJ4OOvhnxImwCcC5Ll
> eTviDOLSBCXnD1GnFeOarjk=
> =kwEb
> -END PGP SIGNATURE-
> 
> 
> 
> 
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 
> 


-- 
¡¡Abajo los imperialistas!!
No a la invasión en Irak

RE: cortafuegos

[Rubén Mediano]

Échale un vistazo a fwbuilder

 

-Mensaje original-
De: Antonio Trujillo Carmona [mailto:[EMAIL PROTECTED] 
Enviado el: domingo, 24 de octubre de 2004 9:00
Para: debian-es
Asunto: cortafuegos

 

Hola hasta la presente estoy usando un cortafuegos (de uso domestico

solo mis dos pc) muy bueno el smoothwall, pero quería tener instalado
mi

propio servidor de correo, pagina web, gatekeeper y a ratos un ?mule,
lo

que me supone tener dos ordenadores funcionando permanente mente.

Estoy pensando en montar el cortafuegos con debian en lugar del

smothwall, pero quiero administración remota vía web y seguridad.

Como en debian (lo que uso en mis equipos) tenemos el webmin no creo
que

tenga problemas en cuanto a la administración remota, pero mi duda es

sobre la administración de cortafuegos, aunque tengo algo de
experiencia

en el tema de NAT nunca he montado un cortafuegos, sino que para las

necesidades del trabajo me he limitado al redireccionamiento, por lo
que

creo que necesitare alguno de los cortafuegos que vienen empaquetados

(vamos que me pongan todas las reglas necesarias ellos solitos)

¿me podes aconsegar alguno que sea facil de administrar via web o por
el

webmin?

-- 

Antonio Trujillo Carmona <[EMAIL PROTECTED]>

 

 

 

-- 

To UNSUBSCRIBE, email to [EMAIL PROTECTED]

with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

 

 

-- 

Este mensaje ha sido analizado por MailScanner

en busca de virus y otros contenidos peligrosos,

y se considera que está limpio.

 





_

Este mensaje ha sido analizado por 
MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

Re: cortafuegos

[Christian Frausto Bernal]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Antonio Trujillo Carmona wrote:
| ¿me podes aconsegar alguno que sea facil de administrar via web o por el
| webmin?

Tal vez esto te ayude: "IPtables Configuration Webmin Module"

http://www.niemueller.de/webmin/modules/iptables/

Saludos,

- --
Christian Frausto Bernal
http://www.conocimientopractico.com
http://www.conpra.com/cfrausto.gpg
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFBe1c/n9a3KM4uVGwRApwRAJ9A7QLt5W3n6wN8UojJ4OOvhnxImwCcC5Ll
eTviDOLSBCXnD1GnFeOarjk=
=kwEb
-END PGP SIGNATURE-

Re: Cortafuegos y sistemas de detección de intrusos.

[Javier Donaire]

El dom, 23-06-2002 a las 08:08, Gunnar Wolf escribió:
> Ahora, exponiendome a que me agarren a flamazos y termine escondiendome
> debajo de la mesa, para aplicaciones especificas de seguridad NO te
> recomiendo usar Linux .

Bueno, mientras te metas con Linux no creo que nadie por aquí se moleste
demasiado. Aunque eso sí, ¡a Debian ni tocarla!  x

Un saludo.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Cortafuegos y sistemas de detección de intrusos.

[Gunnar Wolf]

> Hola,
> me gustaría saber qué tipos de cortafuegos y sistemas de detección de
> intrusos hay en Linux y si tienen paquetes actualizados para debian.
> Si alguien los ha probado, por favor que me de su opinión.
> Por cierto, el filtrado de paquetes con iptables se queda solo en eso,
> en filtrado de paquetes, no?

En Linux, al igual que en cualquier Unix, tienes una gran variedad de
programas a tu disposicion. Para buscar lo que requieres, te sugiero
acudir a apt-cache - Por ejemplo, una busqueda simple de los paquetes con
la palabra 'intrusion' en su definicion me da 20 paquetes (acidlab, aide,
aris-extractor, fcheck, harden-environment, harden-nids, hunt, idswakeup,
karpski, libnids-dev, libnids1, raccess, samhain, snort, snort-common,
snort-doc, snort-mysql, snort-pgsql, snort-rules-default, whisker). Como
la consegui? Simple:

apt-cache search intrusion

Puedes probar con todas las palabras clave que requieras.

Ahora, respecto a lo de iptables - En Linux, iptables hace practicamente
todo - desde filtrado de paquetes hasta NAT y parte de la aplicacion de
politicas. Claro, hay otras funciones clasicas de un firewall (como el
control de calidad de servicio) que hacen otros programas.

Ahora, exponiendome a que me agarren a flamazos y termine escondiendome
debajo de la mesa, para aplicaciones especificas de seguridad NO te
recomiendo usar Linux - Su modelo de desarrollo completamente
descentralizado y sin prioridades y metas definidas lo hacen un mal
sistema para trabajo en estos ambientes. Para un firewall o un sistema de
deteccion de intrusos te sugiero usar OpenBSD (http://www.openbsd.org), un
sistema operativo libre construido con la seguridad como primer meta - y
con increibles resultados.

Saludos,

-- 
Gunnar Wolf - [EMAIL PROTECTED] - (+52-55)5623-1118
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973  F800 D80E F35A 8BB5 27AF


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: cortafuegos

[E.Guerra]

October wrote:



Hola!
si el único error que te da es este:

perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = "es_ES",
LANG = "spanish"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
			


perdon, parece que envié algún fichero con un error antiguo.
no era éste. ya está resuelto. fue un caracter que modifiqué sin querer 
en el nombre de una variable. gracias por las molestias

E.Guerra

Re: cortafuegos

[October]

El Dom 15 Abr 2001 15:14, E.Guerra escribió:
> Hola:
> He utilizado http://www.linux-firewall-tools.com/ para generar un script 
> para ipchains y tengo alguna duda.
> 
> En su desarrollo toca algunos ficheros de /proc/sys/net/ipv4
> entre ellos éste, que no existe en mi dist que es la sid:
> 
> # Enable TCP SYN Cookie Protection
> echo 1 > /proc/sys/net/ipv4/tcp_syncookies
> 
> Lo he comentado y estoy obteniendo el error descripto en el atach 
> "error" por la tty que no sé si tenga que ver con ésto. Incluyo además 
> el script en cuestión.
> Saludos
> E.Guerra
> 
> 

Hola!
si el único error que te da es este:

perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = "es_ES",
LANG = "spanish"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").

entonces debería bastar con descomentar la línea apropiada en /etc/locale.gen 
(mira tu locale con "export" si usas bash, aunque según lo que pone en el 
error, lo tienes puesto a es_ES) y ejecutar locale-gen. Esto solucionaría el 
problema (así lo solucioné yo cuando me cambié a la sid)
Espero que te haya servido de ayuda (?)
Saludos:

October

Re: cortafuegos

[rlnieto]

Si no me equivoco lo que hace es prevenir un ataque de tipo sync flood (que
si tampoco recuerdo mal consiste en iniciar conexiones y dejarlas en estado
"semiabierto"). Yo la activaría pq es muy facil encontrar programillas en la
red que explotan esta vulnerabilidad.


- Original Message -
From: "E.Guerra" <[EMAIL PROTECTED]>
To: 
Cc: "Lista Debian" 
Sent: Sunday, April 15, 2001 7:45 PM
Subject: Re: cortafuegos


> Del TCP SYN he logrado averiguar que es una opcion de compilacion del
> kernel, la cual yo no he usado, y por lo tanto, no existe ese fichero en
> /proc/sys/net/ipv4. Si alguien fuera tan amable de explicar si vale la
> pena usarla, se lo agradecería.
> Los otros errores eran debido a que metí los cascos editando el fichero,
> resuelto también.
> Ahora estoy viendo que el scrip me cierra algunos servicios, y que estoy
> intentando averiguar,, y probar todo bien antes de trasladarlo a un
> servidor de producción. De momento me ha cerrado fetchmail y veo en el
> log usando puerto 41, sigo investigando.
> E.guerra
>
> E.Guerra wrote:
>
> > Hola:
> > He utilizado http://www.linux-firewall-tools.com/ para generar un script
> > para ipchains y tengo alguna duda.
> >
> > En su desarrollo toca algunos ficheros de /proc/sys/net/ipv4
> > entre ellos éste, que no existe en mi dist que es la sid:
> >
> > # Enable TCP SYN Cookie Protection
> > echo 1 > /proc/sys/net/ipv4/tcp_syncookies
> >
> > Lo he comentado y estoy obteniendo el error descripto en el atach
> > "error" por la tty que no sé si tenga que ver con ésto. Incluyo además
> > el script en cuestión.
> > Saludos
> > E.Guerra
> >
> >
>
>
> --
> Unsubscribe?  mail -s unsubscribe
[EMAIL PROTECTED] < /dev/null
>

Re: cortafuegos

[E.Guerra]

Del TCP SYN he logrado averiguar que es una opcion de compilacion del 
kernel, la cual yo no he usado, y por lo tanto, no existe ese fichero en 
/proc/sys/net/ipv4. Si alguien fuera tan amable de explicar si vale la 
pena usarla, se lo agradecería.
Los otros errores eran debido a que metí los cascos editando el fichero, 
resuelto también.
Ahora estoy viendo que el scrip me cierra algunos servicios, y que estoy 
intentando averiguar,, y probar todo bien antes de trasladarlo a un 
servidor de producción. De momento me ha cerrado fetchmail y veo en el 
log usando puerto 41, sigo investigando.

E.guerra

E.Guerra wrote:


Hola:
He utilizado http://www.linux-firewall-tools.com/ para generar un script 
para ipchains y tengo alguna duda.


En su desarrollo toca algunos ficheros de /proc/sys/net/ipv4
entre ellos éste, que no existe en mi dist que es la sid:

# Enable TCP SYN Cookie Protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Lo he comentado y estoy obteniendo el error descripto en el atach 
"error" por la tty que no sé si tenga que ver con ésto. Incluyo además 
el script en cuestión.

Saludos
E.Guerra

Re: Cortafuegos y mantener la conexion

[Ivan Lopez]

nas

supongo que estas usando el ip-masquerade de linux, si es asi, la conexion
se te corta depues de todo ese tiempo idle porque hay unos timeouts
definidos por defecto para el enmascaramiento de conexiones tcp, tcp despues
de haber recibido fin, y udp (esto es necesario porque el numero de puertos
dedicados para hacer masquerade es bastante limitado entre 61000 y 65096 y
si no se van liberando las conexiones por inactividad se llenarian
rapidamente...)

echale un ojo a
http://members.home.net/ipmasq/howto/ipmasq-HOWTO-1.95c-7.html#ss7.13
ahi te da un ejemplo de como cambiar los timeouts, pero tampoco los pongas
excesivamente altos, es cuestion de encontrar el punto de equilibrio que te
vaya bien ;)

un saludo

aSkAiNeT

- Original Message -
From: "Jaume Sabater" <[EMAIL PROTECTED]>
To: 
Sent: Thursday, January 11, 2001 1:17 PM
Subject: Cortafuegos y mantener la conexion


Enas.

Antes tenia algo asín:
 ethrdsieth
 MAQUINA1 -- ROUTER1 == ROUTER2 -- MAQUINA2

Y me funcionaba perfectamente, desde maquina1 podia hacer un ssh a maquina2
y dejarlo horas que no cae, se mantiene la connexion.

Ahora tengo:
eth  eth rdsi   eth
 MAQUINA1  CORTAFUEGOS --- ROUTER1 === ROUTER2 --
MAQUINA2

puedo hacer ssh desde maquina1 a maquina2, pero la conexion no me dura mas
de media horita, si no hago nada se corta:

Read from remote host maquina2: Connection reset by peer
Connection to maquina2 closed.

El cortafuegos es un Pentium 133 con 32 RAM, kernel 2.2.18 y el squid
rulando, y tiene varias ethernets realtek 10/100MB (es suficiente para
30/40 clientes, ¿verdad?) ¿Que puedo hacer para que no se me corte?

Gracias por adelantado

=
Jaume Sabater i Lleal
mailto:[EMAIL PROTECTED]
=


--
Unsubscribe?  mail -s unsubscribe
[EMAIL PROTECTED] < /dev/null

Re: cortafuegos

[Manel Marin]

Hola Jaume,

Te contesto en la lista de debian ya que puede interesar a mas gente, y puede
haber gente que sepa mas que yo ;-)


On Wed, Dec 27, 2000 at 03:42:35PM +0100, Jaume Sabater wrote:
> ... 
> Una dudecilla: He visto que aplicas TOS tanto para el input como para el
> output. ¿No es redundante? Uséase, un paquete que haga forwarding entra, le
> haces TOS, hace forward y luego sale, por lo que le vuelves a hacer TOS. El
> hecho de hacerle dos veces TOS a un paquete no lo ralentica mucho? Digo yo,
> si en un paquete le das la minima prioridad de entrada y la minima
> prioridad de salida, se estará esperando el doble de rato, no?
> 

No, que restes prioridad a los paquetes no quiere decir que no pasen, al menos
yo no lo he notado

Lo que si se nota es que puedes bajar ftp a lo bestia y navegar casi normal


> Otra cosita: No se en que howto vi un listado de puertos habitualmente
> usados por troyanos. Yo, en mis ipchains, le meto el DENY en el input y
> santas pascuas. Si quieres te puedo pasar la lista de puertos, pero mañana,
> que los tengo en casita. Pero de memoria, ahí van algunos: 31 1001 1011
> 1234 1999 20001 20034
> 

Como solo aceptamos conexiones iniciadas por nosotros (tcp) y solo permitimos
acceso udp a nuestros servidores DNS no creo necesario prohibir expresamente
ese monton de puertos, ademas tienes varios problemas:

1) Debes de estar siempre al loro y actualizar la lista a nuevos puertos con
 frecuencia

2) Muchos troyanos parece que pueden usarse en puertos "no estandar"

3) Si una de tus maquinas usa uno de esos puertos prohibidos al hacer una
 salida no recibirá los datos que pide, y deberá esperar un timeout, resultado
 posible: una pagina web con un dibujo en blanco


Otra cosa seria restringir los puertos que permitimos utilizar a nuestra red
a unos cuantos, en Linux se puede especificar el rango de puertos a traves del
/proc (pero no recuerdo como), y los Win probablemente siempre empleen el mismo
rango de puertos de salida

Ahora bien estoy casi seguro que habrá troyanos que habiten en esos rangos...


Saludos,
-- 
-
Manel Marin   e-mail: [EMAIL PROTECTED]
Linux Powered (Debian 2.2 potato)  kernel 2.2.17

GnuPG keyID: F9BC34B5 en certserver.pgp.com
fingerprint: 2F60 43D5 A297 5458 9067  5A50 0029 9C8D F9BC 34B5

Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
-
Mi petición de drivers para Linux es la nº 33126
 (Pasate por http://www.libranet.com/petition.html ;-)