Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El Mon, 30 Jun 2014 09:05:57 -0300, Flako escribió: > El día 28 de junio de 2014, 10:41, Camaleón > escribió: >> Sigo sin pillarlo y la definición que das no me encaja con la idea que >> tengo de la red en VB, me explico: tal y como lo veo, si configuras la >> interfaz de red en VB para que tu máquina virtual se conecte con el >> host a través del método "puente" la máquina virtual tiene una interfaz >> convencional eth0 que puedes configurar de manera independiente como si >> fuera un equipo más de la red, es decir, podrías decirle a la máquina >> virtual que te cargue las reglas iptables que quieras para rechazar > > Pues ahí es donde esta el error (tal vez semántico mio), no tengo > firewall en la VM, es un OpenServer que no tiene firewall (como puse en > el primer mail). Si tienes iptables tienes firewall y algo me dice que con OpenServer no deberías tener problemas :-) Lo único que tendrías que hacer en añadir las reglas que necesites para bloquear los puertos que quieras. > Por lo que llega a mi comprensión (hoy) es la única forma de bloquear > los puertos desde el HOST, excepto que se use nat. Yo, de momento, dejaría al host a un lado. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.30.14.54...@gmail.com
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El día 28 de junio de 2014, 10:41, Camaleón escribió: > Sigo sin pillarlo y la definición que das no me encaja con la idea que > tengo de la red en VB, me explico: tal y como lo veo, si configuras la > interfaz de red en VB para que tu máquina virtual se conecte con el host > a través del método "puente" la máquina virtual tiene una interfaz > convencional eth0 que puedes configurar de manera independiente como si > fuera un equipo más de la red, es decir, podrías decirle a la máquina > virtual que te cargue las reglas iptables que quieras para rechazar Pues ahí es donde esta el error (tal vez semántico mio), no tengo firewall en la VM, es un OpenServer que no tiene firewall (como puse en el primer mail). Por lo que llega a mi comprensión (hoy) es la única forma de bloquear los puertos desde el HOST, excepto que se use nat. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADqxbRRp-kJkMf_Y5k4FNGR=0xh1gjpgghmbqguqnuytk5f...@mail.gmail.com
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El Fri, 27 Jun 2014 17:06:07 -0300, Flako escribió: > El día 27 de junio de 2014, 12:34, Camaleón > escribió: >> El Fri, 27 Jun 2014 12:17:31 -0300, Flako escribió: >> >> (Flako, hay que desactivar el html...) > >mm, yo lo veo sin html.. Pues la cabecera del correo dice lo contrario: Content-Type: multipart/alternative; boundary=001a11c13b60d0807804fcd2d08d >> Esto no lo pillo. El modo puente en VM te permite la mayor flexibilidad >> de configuración de la red en la máquina virtual, como si fuera un >> equipo real con un adaptador de red individual. Tiene algunas >> limitaciones pero que yo sepa nada relacionado con el filtrado de la >> interfaz: >> >> https://www.virtualbox.org/manual/ch06.html#networkingmodes >> >> > Si conectas la VM con "Bridged networking" al eth0 del host, > el host no puede controlar los paquetes (pasan directos a la VM), es > decir no los puede filtrar via iptables (al menos eso es lo que entendí > luego de leer y preguntar). Sigo sin pillarlo y la definición que das no me encaja con la idea que tengo de la red en VB, me explico: tal y como lo veo, si configuras la interfaz de red en VB para que tu máquina virtual se conecte con el host a través del método "puente" la máquina virtual tiene una interfaz convencional eth0 que puedes configurar de manera independiente como si fuera un equipo más de la red, es decir, podrías decirle a la máquina virtual que te cargue las reglas iptables que quieras para rechazar (reject) o redireccionar (forward) el tráfico que le venga desde la red y que pasa de manera transparente -trasparententemente simulado porque no deja de ser un sistema virtual y todos los componentes del sistema son simulados- a través del host que tiene instalado VB. > Entonces por eso se arma un bridge en el host (nota que en la > primera opción no hay un bridge real), con un bridge en el host los > paquetes son tratados de otra forma y se pueden filtrar por iptables. > Todo esto puede tener errores de concepto... pero hasta ahora > parece funcionar :) Entiendo lo que has hecho pero creo que no sería necesario en el caso de configurar la VM en el modo "puente". Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.28.13.41...@gmail.com
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El día 27 de junio de 2014, 12:34, Camaleón escribió: > El Fri, 27 Jun 2014 12:17:31 -0300, Flako escribió: > > (Flako, hay que desactivar el html...) mm, yo lo veo sin html.. > Esto no lo pillo. El modo puente en VM te permite la mayor flexibilidad > de configuración de la red en la máquina virtual, como si fuera un equipo > real con un adaptador de red individual. Tiene algunas limitaciones pero > que yo sepa nada relacionado con el filtrado de la interfaz: > > https://www.virtualbox.org/manual/ch06.html#networkingmodes > Si conectas la VM con "Bridged networking" al eth0 del host, el host no puede controlar los paquetes (pasan directos a la VM), es decir no los puede filtrar via iptables (al menos eso es lo que entendí luego de leer y preguntar). Entonces por eso se arma un bridge en el host (nota que en la primera opción no hay un bridge real), con un bridge en el host los paquetes son tratados de otra forma y se pueden filtrar por iptables. Todo esto puede tener errores de concepto... pero hasta ahora parece funcionar :) ethetneydel VirtualBox y conectarte directamente a la interface del Host eth0 o crear un bridge y un TAP desde el Host para luego conectar la VM al -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADqxbRSCqrB0JxQHX331jwBDUtCkZFBeBq4c4ut=fpde_fo...@mail.gmail.com
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El Fri, 27 Jun 2014 12:17:31 -0300, Flako escribió: (Flako, hay que desactivar el html...) > El 27 de junio de 2014, 10:47, Camaleón escribió: > >> El Thu, 26 Jun 2014 19:34:19 -0300, Flako escribió: >> >> (buf... no sé qué cliente de correo has usado pero el formato de este >> mensaje está roto, sale todo el cuerpo descuajeringado :-/) >> >> > Hola >> > Tengo un error de concepto con iptables, necesito bloquear >> > puertos >> > (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que >> > quiero hacerlo desde el HOST. >> >> (...) >> >> Si tienes a la máquina virtual configurada en modo puente (bridge), el >> equipo invitado se comporta como un sistema independiente de la red >> local, por lo que el host en este caso no puede actuar como elemento >> bloqueante salvo que los "enlaces" de alguna manera. >> >> En resumen, entiendo que en este caso tendrías que trabajar sobre la >> máquina virtual (el cliente) y añadir las reglas iptables para bloquear >> los puertos que necesites en ese equipo como harías en cualquier >> ordenador físico. >> >> >> > Hola Gracias por responder, pero creo que me explique mal. > La razón de crear un TAP para la VM es para poder filtrarla, si > configuro > la VM como bridge directamente a eth0 por lo que entiendo no se puede > filtrar.. (...) Esto no lo pillo. El modo puente en VM te permite la mayor flexibilidad de configuración de la red en la máquina virtual, como si fuera un equipo real con un adaptador de red individual. Tiene algunas limitaciones pero que yo sepa nada relacionado con el filtrado de la interfaz: https://www.virtualbox.org/manual/ch06.html#networkingmodes Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.27.15.34...@gmail.com
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El 27 de junio de 2014, 10:47, Camaleón escribió: > El Thu, 26 Jun 2014 19:34:19 -0300, Flako escribió: > > (buf... no sé qué cliente de correo has usado pero el formato de este > mensaje está roto, sale todo el cuerpo descuajeringado :-/) > > > Hola > > Tengo un error de concepto con iptables, necesito bloquear puertos > > (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero > > hacerlo desde el HOST. > > (...) > > Si tienes a la máquina virtual configurada en modo puente (bridge), el > equipo invitado se comporta como un sistema independiente de la red > local, por lo que el host en este caso no puede actuar como elemento > bloqueante salvo que los "enlaces" de alguna manera. > > En resumen, entiendo que en este caso tendrías que trabajar sobre la > máquina virtual (el cliente) y añadir las reglas iptables para bloquear > los puertos que necesites en ese equipo como harías en cualquier > ordenador físico. > > Saludos, > > Hola Gracias por responder, pero creo que me explique mal. La razón de crear un TAP para la VM es para poder filtrarla, si configuro la VM como bridge directamente a eth0 por lo que entiendo no se puede filtrar.. Sigo sin comprender del todo el funcionamiento de iptables.., pero encontré https://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html que con amargo copy&page funciono.. Parece que FORWARD se evalua antes de INPUT, ademas creo que INPUT no se usa dentro del bridge. Con las reglas: iptables -F FORWARD iptables -P FORWARD ACCEPT iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s 0/0 -d xx.1x.1x.1xx --dport 22 -j DROP #Bloquea entrada iptables -A FORWARD -p tcp -s xx.1x.1x.1xx -d 0/0 --dport 22 -j DROP #Bloquea Salida iptables -A FORWARD -p udp -s 0/0 -d xx.1x.1x.1xx --dport 488 -j DROP #Bloquea entrada iptables -A FORWARD -p udp -s xx.1x.1x.1xx -d 0/0 --dport 488 -j DROP #Bloquea Salida Lo que logre es hacerlo sin poner la ip, probé con iptables -A FORWARD -p tcp -s 0/0 -o tap0 --dport 22 -j DROP iptables -A FORWARD -p tcp -s 0/0 -i eth0 -o tap0 --dport 22 -j DROP pero no funcionan, pero de nuevo no comprendo el porque :( Gracias.
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
El Thu, 26 Jun 2014 19:34:19 -0300, Flako escribió: (buf... no sé qué cliente de correo has usado pero el formato de este mensaje está roto, sale todo el cuerpo descuajeringado :-/) > Hola > Tengo un error de concepto con iptables, necesito bloquear puertos > (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero > hacerlo desde el HOST. (...) Si tienes a la máquina virtual configurada en modo puente (bridge), el equipo invitado se comporta como un sistema independiente de la red local, por lo que el host en este caso no puede actuar como elemento bloqueante salvo que los "enlaces" de alguna manera. En resumen, entiendo que en este caso tendrías que trabajar sobre la máquina virtual (el cliente) y añadir las reglas iptables para bloquear los puertos que necesites en ese equipo como harías en cualquier ordenador físico. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.27.13.47...@gmail.com
Fwd: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
> Reenviado por: debian-user-spanish@lists.debian.org > De: Flako > Asunto: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST > Fecha: 27 de junio de 2014 00:34:19 GMT+2 > Para: Lista Debian > > > Hola > Tengo un error de concepto con iptables, necesito bloquear puertos > (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero > hacerlo desde el HOST. >En el host definí la red como: > ># brctl show >bridge namebridge idSTP enabledinterfaces >br08000.ca6887baa995no eth0 > > tap0 > Donde la VM esta conectada al tap0 en modo bridge > > Intente cargar reglas similares a: > iptables -A INPUT -i tap0 -p tcp --dport 22 -s xx.xx.xx.xxx -j > DROP (xx.xx.xx.xxx es la ip de la VM) > iptables -A INPUT -i tap0 -p tcp --dport 22 -j DROP > > > Esas reglas no funcionan con bridge? o estoy haciendo algo mal? > > Gracias. > > > > > Otra cuestión es que con la última rama de VirtualBox no es necesario crear un bridged y enganchas directamente al interfaz del anfitrión
Re: necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
On Thu, 26 Jun 2014 19:34:19 -0300 Flako wrote: Yo lo tengo configurado de la siguiente manera http://blog.mamalibre.com.ar/post/firewall-con-iptables me anda muy bien. -- Servicios:. http://mamalibre.com.ar/plus MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina pgpBXw_1KHKK5.pgp Description: PGP signature
necesito bloquear puertos (IN/OUT) de una VM-Gest desde el HOST
Hola Tengo un error de concepto con iptables, necesito bloquear puertos (IN/OUT) de una VM (VirtualBox) que no tiene firewall, por lo que quiero hacerlo desde el HOST. En el host definí la red como: # brctl show bridge namebridge idSTP enabledinterfaces br08000.ca6887baa995no eth0 tap0 Donde la VM esta conectada al tap0 en modo bridge Intente cargar reglas similares a: iptables -A INPUT -i tap0 -p tcp --dport 22 -s xx.xx.xx.xxx -j DROP (xx.xx.xx.xxx es la ip de la VM) iptables -A INPUT -i tap0 -p tcp --dport 22 -j DROP Esas reglas no funcionan con bridge? o estoy haciendo algo mal? Gracias.
