Re: Duda conceptual sobre como ubicar script de iptables
On 20/10/14 19:37, Flako wrote: El día 20 de octubre de 2014, 12:33, adriancito adrianfran...@gmail.com escribió: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. yo correría 'grep iptables /etc/ -R' y de ahí vería cual es el script (suponiendo que esta en /etc) Flako, buen día. Gracias por tu respuesta. Te comento que el script no se llama iptables. Por eso no entiendo porque buscar con grep ese archivo? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54462feb.80...@gmail.com
Re: Duda conceptual sobre como ubicar script de iptables
On Tue, Oct 21, 2014 at 07:05:31AM -0300, adriancito wrote: On 20/10/14 19:37, Flako wrote: yo correría 'grep iptables /etc/ -R' y de ahí vería cual es el script (suponiendo que esta en /etc) [...] Te comento que el script no se llama iptables. Por eso no entiendo porque buscar con grep ese archivo? Evidentemente no has entendido la respuesta que te han dado. Lo que hace la orden grep que te sugiere Flako es buscar algún script en /etc que *contenga* o utilice la orden iptables, no un script llamado iptables, ya que si hemos entendido bien tu pregunta lo que quieres es añadir reglas de cortafuegos a las ya existentes. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2014102714.ga28...@cantor.unex.es
Re: Duda conceptual sobre como ubicar script de iptables
El día 21 de octubre de 2014, 7:05, adriancito adrianfran...@gmail.com escribió: On 20/10/14 19:37, Flako wrote: El día 20 de octubre de 2014, 12:33, adriancito adrianfran...@gmail.com escribió: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. yo correría 'grep iptables /etc/ -R' y de ahí vería cual es el script (suponiendo que esta en /etc) Flako, buen día. Gracias por tu respuesta. Te comento que el script no se llama iptables. Por eso no entiendo porque buscar con grep ese archivo? Muchas Gracias. JAJAJ, yo se que no se llama iptables, te recomindo que lees 'man grep' para comprender -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CADqxbRSTRVAF=kdxs8_ptnw6rxevl_o+tvo1pesv2u2oidx...@mail.gmail.com
Re: Duda conceptual sobre como ubicar script de iptables
El Mon, 20 de Oct de 2014, a las 12:33:35PM -0300, adriancito dijo: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? Pues a parte de la solución obvia de buscar la palabra iptables dentro del contenido de todos los ficheros bajo /etc, a mí se me ocurren cuatro localizaciones adecuadas: 1. En rc.local (que ya has dicho que no). 2. En algún script dentro de /etc/rcX.d. 3. En /etc/network/interfaces. 4. Dentro de /etc/network/if-up.d. -- ¿No ha de haber un espíritu valiente? ¿Siempre se ha de sentir lo que se dice? ¿Nunca se ha de decir lo que se siente? --- Francisco de Quevedo --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141021121329.ga4...@cubo.casa
Re: Duda conceptual sobre como ubicar script de iptables
El Mon, 20 Oct 2014 12:33:35 -0300, adriancito escribió: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. Si seguiste los dictados de la wiki¹ es posible que lo tengas en /etc y el script que lo active estará en /etc/network/if-pre-up.d/* ¹https://wiki.debian.org/iptables Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.10.21.13.27...@gmail.com
Duda conceptual sobre como ubicar script de iptables
Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54452b4f.4010...@gmail.com
Re: Duda conceptual sobre como ubicar script de iptables
El día 20 de octubre de 2014, 12:33, adriancito adrianfran...@gmail.com escribió: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. yo correría 'grep iptables /etc/ -R' y de ahí vería cual es el script (suponiendo que esta en /etc) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cadqxbrthi0tvc_vthaerswv96rowszhfnfvu+ab0nm5wcd8...@mail.gmail.com
Re: Duda conceptual sobre como ubicar script de iptables
El día 20 de octubre de 2014, 17:33, adriancito adrianfran...@gmail.com escribió: Hola Lista. Hace 1 año que no me conectaba a un router en Debian 6 en el cual tengo implementado un script de iptables. Ahora bien, la pregunta es esta, como puedo buscar cual es el script que se ejecuta al inicio? He mirado en /etc/rc.local y no hay nada. Pero no recuerdo como seguir buscando en los distintos rc... o cual sería la manera mas adecuada de encontrar el script que se está ejecutando en cada inicio? Muchas Gracias!!! Saludos. Creo que esto no está muy estandarizado, cada distribución lo gestiona de una manera. En Debian creo recordar que había un paquete llamado iptables-pesistent para eso. S2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAGw=rHjhb34Ph2iResEG=UJKK8Ys5=muuu_na7+prkwy8ce...@mail.gmail.com
Re: Donde ubicar el script de iptables
No pollo, lo mejor es no ensuciar los niveles de arranque salvo que sea necesario, para los scripts de usuario y administrador lo mejor es usar el archivo /etc/rc.local, ahí pones la instrucción a ejecutar, por ejemplo: /root/./archivo-firewall -- Hola. El tema también me interesa. Que esta no me la sabia, todos los días se aprende algo nuevo. Gracias. Por favor, NO utilice formatos de archivo propietarios para el intercambio de documentos, como DOC y XLS, sino HTML, PDF, TXT, CSV o cualquier otro que no obligue a utilizar un programa de un fabricante concreto. Internet Explorer y Outlook son muy peligrosos por sus continuos problemas de seguridad. Utilice alternativas libres: http://www.mozillaes.org/ usuario linux registrado #387231 http://counter.li.org Por favor evite enviar adjuntos de powerpoint y word vea http://www.gnu.org/philosophy/no-word-attachments.es.html -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Donde ubicar el script de iptables
Buenas Lista. Tengo un equipo con Debian Etch el cual tienen dentro de /etc/network/if-up/... el script de iptables. El tema es que como dicho equipo tiene 3 interfaces el script se ejecuta 3 veces. La pregunta es, si quisiera ubicar mi script dentro de /etc/rc2.d/... (ya que se ejecuta con run level 2) cual es la forma mas elegante? Solo le hago un ln -s /rutaamiscript/ . dentro de /etc/rc2.d/? Muchas Gracias. Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Donde ubicar el script de iptables
El 12 de julio de 2009 14:13, adriancito adrianfran...@gmail.com escribió: Buenas Lista. Tengo un equipo con Debian Etch el cual tienen dentro de /etc/network/if-up/... el script de iptables. El tema es que como dicho equipo tiene 3 interfaces el script se ejecuta 3 veces. La pregunta es, si quisiera ubicar mi script dentro de /etc/rc2.d/... (ya que se ejecuta con run level 2) cual es la forma mas elegante? Solo le hago un ln -s /rutaamiscript/ . dentro de /etc/rc2.d/? Muchas Gracias. Salu2. No pollo, lo mejor es no ensuciar los niveles de arranque salvo que sea necesario, para los scripts de usuario y administrador lo mejor es usar el archivo /etc/rc.local, ahí pones la instrucción a ejecutar, por ejemplo: /root/./archivo-firewall -- LARGA VIDA Y PODEROSA.
Re: Donde ubicar el script de iptables
El dom, 12-07-2009 a las 16:13 -0300, adriancito escribió: Buenas Lista. Tengo un equipo con Debian Etch el cual tienen dentro de /etc/network/if-up/... el script de iptables. El tema es que como dicho equipo tiene 3 interfaces el script se ejecuta 3 veces. La pregunta es, si quisiera ubicar mi script dentro de /etc/rc2.d/... (ya que se ejecuta con run level 2) cual es la forma mas elegante? Solo le hago un ln -s /rutaamiscript/ . dentro de /etc/rc2.d/? Muchas Gracias. Utiliza update-rc.d Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ubicación correcta de script de iptables
El Lunes, 27 de Abril de 2009 07:39, JAP escribió: Federico Alberto Sayd escribió: Carlos Zuniga escribió: 2009/4/25 ciracusa cirac...@gmail.com: Hola Lista, Tengo ubicado mi script de iptables en /etc/network/if-up/... El tema es que como tengo 3 interfaces el mismo se ejecuta una vez por cada una de las interfaces que tengo. Es correcto este directorio o me conviene ubicarlo en otro lugar? Muchas gracias. Lo que pasa es que el ifup ejecuta cada uno de los scripts en ese directorio por cada interfaz que tengas. Podrías colocarlo donde quieras y lo añades a /etc/rc.local para ejecutarlo Otra opción más elegante sería que lo pongas en /etc/init.d/ y luego lo añades al runlevel que utilizas con rcconf o con sysv-rc-conf Saludos Es una opción lo del init.d pero luego te queda un sistema un tanto sucio porque Debian no provee un paquete de control de iptables que tenga un script de inicio en /etc/init.d. Yo solia ponerlo en /etc/network/if.up.d pero como comentaban más arriba se ejecuta por cada interfaz que se levanta. En el caso de iptables-restore esto no es tan crítico porque borra toda la configuración anterior y la escribe de nuevo, pero no es tan elegante. Con reglas de iproute sencillas no sirve porque las reglas anteriores no se borran. Yo he decidido poner todos estos scripts en /etc/rc.local de manera que se ejecutan una sola vez al inicio del sistema. Pero sería deseable que Debian trajera algún paquete para controlar iptables desde /etc/init.d, no se como se manejará esto a nivel de políticas de la distribución. Saludos Hmmm... Yo, personalmente, tengo mi script de iptables colgado de /etc/init.d/networking. Hasta ahora, es la solución más prolija, pues ponerlo en rc.local no los ejecuta cuando debo hacer un reinicio de red en caliente, me obligaba a correrlo a mano, o lo que es peor, reiniciar la máquina (¿!). El script en sí lo tengo grabado en una carpeta ad hoc llamanda /root/bin, y al final de start y restart en /etc/init.d/networking hay una llamada a este script que es el que organiza el contrafuegos y asigna los recursos de red. La única contra es que cuando se actualiza /etc/init.d/networking, debo decidir si dejo el archivo viejo o pongo el nuevo, y agregarle estas líneas (es lo que normalmente hago). JAP En mi caso, lo que he hecho es poner en el archivo interfaces la opción pre-up para ejecutar el script con las reglas para iptables y que cada vez que inicie/reinicie la interfaz de red las carge. Ejemplo: allow-hotplug eth0 iface eth0 inet static name Tarjeta Externa address xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx broadcast xxx.xxx.xxx.xxx network xxx.xxx.xxx.xxx gateway xxx.xxx.xxx.xxx pre-up /etc/network/iptables.sh Saludos, -- MSc. Carlos O. Cazorla Machado Administrador de Redes y Sistemas e-mail: cazo...@ecot.co.cu Linux User 379000 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ubicació n correcta de script de iptables
On Sat, Apr 25, 2009 at 12:57:26PM -0300, ciracusa wrote: Hola Lista, Tengo ubicado mi script de iptables en /etc/network/if-up/... El tema es que como tengo 3 interfaces el mismo se ejecuta una vez por cada una de las interfaces que tengo. Es correcto este directorio o me conviene ubicarlo en otro lugar? El directorio es el correcto. Cualquier otra opción denota que no has revisado a fondo la documentación de interfaces. Todos los scripts ubicados en /etc/if-up.d tienen acceso a una serie de variables, que te permitirían aplicar, por ejemplo, las reglas de iptables únicamente al activarse la interfaz eth0. En el manual de interfaces(5), busca en el final de la sección IFACE OPTIONS el detalle sobre las variables de ambiente IFACE, LOGICAL, ADDRFAM, METHOD, MODE, PHASE, VERBOSITY y PATH. Hay algunos ejemplos al respecto en las siguientes páginas: http://tumbleweed.org.za/tags/split-routing http://man-es.debianchile.org/cortafuego.html http://www.researchut.com/blog/archives/archive_2007-m05.php Saludos. -- Pablo Jiménez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ubicación correcta de script de iptables
El 25 de abril de 2009 10:57, ciracusa cirac...@gmail.com escribió: Hola Lista, Tengo ubicado mi script de iptables en /etc/network/if-up/... El tema es que como tengo 3 interfaces el mismo se ejecuta una vez por cada una de las interfaces que tengo. Es correcto este directorio o me conviene ubicarlo en otro lugar? Muchas gracias. Buenas noches . El script de iptables puede estar ubicado en cualquier lugar. No entiendo por que dices que se ejecuta una ves por cada interface, debe ser tal ves por que lo tienes dividido en tres partes diferentes, no se la verdad. Yo siempre coloco mi script de iptables en /root/bin/ Esto no tiene nada que ver con su funcionamiento igual se podria correer desde cualquier lugar. Lo importante hay es que tenga permisos 700 y que el propietario en lo posible sea el root con eso el unico que puede verlo, editarlo y correrlo sea el root por seguridad. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Ubicación correcta de script de iptables
2009/4/25 ciracusa cirac...@gmail.com: Hola Lista, Tengo ubicado mi script de iptables en /etc/network/if-up/... El tema es que como tengo 3 interfaces el mismo se ejecuta una vez por cada una de las interfaces que tengo. Es correcto este directorio o me conviene ubicarlo en otro lugar? Muchas gracias. Lo que pasa es que el ifup ejecuta cada uno de los scripts en ese directorio por cada interfaz que tengas. Podrías colocarlo donde quieras y lo añades a /etc/rc.local para ejecutarlo Otra opción más elegante sería que lo pongas en /etc/init.d/ y luego lo añades al runlevel que utilizas con rcconf o con sysv-rc-conf Saludos -- Linux Registered User # 386081 A menudo unas pocas horas de Prueba y error podrán ahorrarte minutos de leer manuales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Es posible encriptar el contenido de squid.conf y/o el script de iptables?
Hola Lista. Tengo un equipo listo para entregar al cliente. Tiene squid, iptables, dhcp server, dansguardian y algunas cosas mas. Mi pregunta es: - Es posible evitar que si alguien me desarma el equipo y monta el disco pueda ver el contenido de los archivos de configuración? Muchas Gracias. Saludos.- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Es posible encriptar el contenido de squid.conf y/o el script de iptables?
El día 1 de abril de 2009 20:38, ciracusa cirac...@gmail.com escribió: Hola Lista. Tengo un equipo listo para entregar al cliente. Tiene squid, iptables, dhcp server, dansguardian y algunas cosas mas. Mi pregunta es: - Es posible evitar que si alguien me desarma el equipo y monta el disco pueda ver el contenido de los archivos de configuración? Muchas Gracias. Saludos.- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Parece complicado. Tal vez un cifrado de disco completo (Tarde ya...) O que se generen de forma dínamica en un sistema de ficheros temporal y en el /etc solo estén los links. (pero solo le despistaría un poco) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Sobre Script de iptables
Hola Lista. Luego de haber leido muchos textos y manuales con scripts de iptables he llegado a lo que creo una buena implementación (al menos para mí), de hecho hoy entro en producción. De todas maneras para evitar cualquier imprevisto quisiera consultarles es si uds. han visto ejemplos que consideren interesantes evaluar para poder comparar las reglas y el orden de las mismas. Desde ya muchas gracias. Salu2. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sobre Script de iptables
On Wednesday 26 July 2006 22:03, ciracusa wrote: Hola Lista. Luego de haber leido muchos textos y manuales con scripts de iptables he llegado a lo que creo una buena implementación (al menos para mí), de hecho hoy entro en producción. De todas maneras para evitar cualquier imprevisto quisiera consultarles es si uds. han visto ejemplos que consideren interesantes evaluar para poder comparar las reglas y el orden de las mismas. Desde ya muchas gracias. Salu2. pero envia tu script pues ! -- ___ Felipe Tornvall N. lu: 400327 w: http://linux.pctools.cl Descarga de Distribuciones
Script de iptables
Hola ya estoy desesperado... he mirado en google, la documentación, algún libro... pero no consigo configurar correctamente el cortafuegos :( Os cuento: Tengo una red privada en casa y me gustaría montar un cortafuegos. Hasta ahora he tenido lo siguiente: --- #!/bin/sh echo 1 /proc/sys/net/ipv4/ip_forward /sbin/iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0 /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4661 -j DNAT --to 172.16.0.3:4661 /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4662 -j DNAT --to 172.16.0.3:4662 /sbin/iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 4665 -j DNAT --to 172.16.0.3:4665 # INBOUND POLICY # Accept inbound packets that initiate SSH sessions /sbin/iptables -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW # Accept inbound packets that initiate HTTP sessions /sbin/iptables -A INPUT -p tcp -j ACCEPT --dport 80 -m state --state NEW ;; --- Pero como todo quedaba demasiado abierto me he decidido a cerrar un poco más los accesos. El resultado lo teneis en el adjunto iptables_full Problemas que me han aparecido: -Aunque me permite acceder a la web de mi casa, no me permite navegar fuera de mi red. -No me permite enviar correo: una máquina lo envía mediante exim directamente y la otra mediante evolution+smtp de un isp. La prueba la he hecho con la primera. -Es posible que si me permita recibir correo desde servidores externos pop3 (en un log de snort aparece la conexión a los buzones) -No me permite utilizar clientes de mensajería instantanea (tipo MSN, etc) -No me permite acceder a las cuentas FTP de otros sitios, teniendo que conectarme mediante ssh al cortafuegos para poder establecer la conexión FTP con los servidores externos. -Por último, eMule. No estoy seguro porque estaba descargando pero mucho me temo que tal y como está el panorama... me dará low-id Se me olvidaba... una de las máquinas tiene que trabajar de vez en cuando con WinXP. La salida a internet la hace mediante SAMBA. Imagino que también tendrá que aparecer algo en el cortafuegos ¿me equivoco? Desde luego he conseguido lo que buscaba... cerrar más los accesos al sistema... pero los he cerrado demasiado :'( Ya no se qué hacer, qué cambiar ni qué tocar... ¿alguna ayuda? Gracias por adelantado. Un saludo. -- Fermín Manzanedo | Badajoz - Spain | Utilice formatos libres para http://efiex.homelinux.org/~fermin | compartir información. No utilice Llave pública gpg en pgp.rediris.es | .doc .xls .gif... Powered by Debian GNU/Linux Sid |así, gana la humanidad ;) #!/bin/sh # # last modified 28 Dec 2003 # IPTABLES=/sbin/iptables test -x $IPTABLES || exit 5 case $1 in start) echo -n Cargando el filtrado de paquetes de la red # SETUP -- Necesario para todos los host # Carga los módulos del núcleo modprobe ip_tables modprobe ip_conntrack modprobe iptable_nat modprobe ipt_MASQUERADE # Elimina reglas antiguas y tablas $IPTABLES --flush $IPTABLES -F -t nat $IPTABLES --delete-chain # Establece reglas de denegación por defecto para las tres cadenas $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # Permite loopback $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT # Permite actuar de pasarela /sbin/iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0 $IPTABLES -A FORWARD -i eth0 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -s 172.16.0.0/12 -j ACCEPT $IPTABLES -A FORWARD -d 172.16.0.0/12 -j ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward # Permite conectarse a idefix al eMule /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4661 -j DNAT --to 172.16.0.3:4661 /sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 4662 -j DNAT --to 172.16.0.3:4662 /sbin/iptables -A PREROUTING -t nat -p udp -i ppp0 --dport 4665 -j DNAT --to 172.16.0.3:4665 # Para evitar (de manera rudimentaria) ip-spoofing $IPTABLES -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -s 255.0.0.0/8 -j DROP $IPTABLES -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -s 0.0.0.0/8 -j DROP $IPTABLES -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -s 127.0.0.0/8 -j DROP $IPTABLES -A INPUT -s 192.168.0.0/16 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -s 192.168.0.0/16 -j DROP # Tengo que añadir la interface a la que me refiero para que permita las # conexiones desde la red interna. $IPTABLES -A INPUT -i ppp0 -s 172.16.0.0/12 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP $IPTABLES -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix Spoofed source IP! $IPTABLES -A INPUT -s 10.0.0.0/8 -j DROP # No permitir el paso de paquetes con el indicativo --syn $IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix Stealth scan attempt? $IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # Política de filtrado de
Re: script de iptables
On Mon, Dec 15, 2003 at 10:18:21AM -0300, Gustavo Nuñez wrote: No me queda claro quien llama a este script y como lo encuentra? Yo supongo que lo debe llamar de los scripts de networking o algo asi (aunque solo aparecen lineas refentes a ipchains adentro). En /etc/init.d/ tengo un script de iptables original, que parece tomar las reglas que ponga en /var/lib/iptables/ o algo asi, pero no se si esta corriendolo o no.. Es que tu pregunta es un poco compleja, por ejemplo, yo tengo 4 ordenadores que se conectan a través de uno que usa un modem. Por ello las reglas de cortafuegos cambian ( de hecho no las necesito antes de) conectarme a internet, por lo que mi scrip se lanza desde /etc/ppp/ipup.d Si no tienes ese problema, el script en /etc/init.d/iptables parece la forma más estandar. Si lo ejecutas sin opciones: /etc/init.d/iptables /etc/init.d/iptables options: start|restart|reload|force-reload load the active ruleset save ruleset save the current ruleset load ruleset load a ruleset stop load the inactive ruleset clear remove all rules and user-defined chains, set default policy to ACCEPT halt remove all rules and user-defined chains, set default policy to DROP Saved ruleset locations: /var/lib/iptables/ and /var/lib/ip6tables/ Please read: /etc/default/iptables Y además man iptables man iptables-save man iptables-restore -- Un Saludos Javier Fafián Alvarez | Sembrando trigo una vez, cosecharás una vez. Ingeniero Técnico Agrícola | Plantando un árbol, cosecharás diez veces. Administrador de Sistemas | Instruyendo al pueblo, cosecharás cien veces. Linux Debian SID (unstable) | -- Kuan-Tseu.
RE: script de iptables
al principio del script tengo esto puesto: # SECCISN CONFIGURABLE POR EL USUARIO # El nombre y la localizacisn de la utilidad iptables. IPTABLES=iptables # Ruta del ejecutable de iptables. PATH=/sbin -Mensaje original- De: Gustavo Nuñez [mailto:[EMAIL PROTECTED] Enviado el: dilluns, 15 de desembre de 2003 12:56 Para: [EMAIL PROTECTED] Asunto: Re: script de iptables Suelto en /root ? Ahi tiras el script de iptables con las reglas que quieras, con algun nombre especifico y solo lo va a tomar de ahi ? GRacias Gustavo Nuñez [EMAIL PROTECTED] escribió: yo lo tengo en el /root un saludo. -Mensaje original- De: Gustavo Nuñez [mailto:[EMAIL PROTECTED] Enviado el: dilluns, 15 de desembre de 2003 1:52 Para: debian-user-spanish@lists.debian.org Asunto: script de iptables Hola, hasta ahora siempre armo mi firewall a traves de un script de iptables que corro en /etc/init.d/firewall con sus respectivos links simbolicos a los runlevels correspondientes que creo a mano, pero uso woody r1 y quisiera saber si hay algun lugar predefinido para mi debian, es decir en donde se deberia colocar el script de iptables para que corra en el inicio segun debian, porque segun veo hay algo asi pero no pude encontrar a donde debo editar o poner mi script de firewall. Espero que se haya entendido. Gracias Gustavo Nuñez -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: script de iptables
No me queda claro quien llama a este script y como lo encuentra? Yo supongo que lo debe llamar de los scripts de networking o algo asi (aunque solo aparecen lineas refentes a ipchains adentro). En /etc/init.d/ tengo un script de iptables original, que parece tomar las reglas que ponga en /var/lib/iptables/ o algo asi, pero no se si esta corriendolo o no.. Lo que quiero saber es como se maneja de manera standart en debian las reglas para iptables, no correr un script a mano. Debe haber algun lugar standart en donde poner las reglas y quizas definir algunas variables para decirle que lo use, pero no encontre nada googlenado, pero revisando estos scripts que nombro arriba, tiene que salir. Gracias Gustavo Nuñez [EMAIL PROTECTED] escribió: al principio del script tengo esto puesto: # SECCISN CONFIGURABLE POR EL USUARIO # El nombre y la localizacisn de la utilidad iptables. IPTABLES=iptables # Ruta del ejecutable de iptables. PATH=/sbin -Mensaje original- De: Gustavo Nuñez [mailto:[EMAIL PROTECTED] Enviado el: dilluns, 15 de desembre de 2003 12:56 Para: [EMAIL PROTECTED] Asunto: Re: script de iptables Suelto en /root ? Ahi tiras el script de iptables con las reglas que quieras, con algun nombre especifico y solo lo va a tomar de ahi ? GRacias Gustavo Nuñez [EMAIL PROTECTED] escribió: yo lo tengo en el /root un saludo. -Mensaje original- De: Gustavo Nuñez [mailto:[EMAIL PROTECTED] Enviado el: dilluns, 15 de desembre de 2003 1:52 Para: debian-user-spanish@lists.debian.org Asunto: script de iptables Hola, hasta ahora siempre armo mi firewall a traves de un script de iptables que corro en /etc/init.d/firewall con sus respectivos links simbolicos a los runlevels correspondientes que creo a mano, pero uso woody r1 y quisiera saber si hay algun lugar predefinido para mi debian, es decir en donde se deberia colocar el script de iptables para que corra en el inicio segun debian, porque segun veo hay algo asi pero no pude encontrar a donde debo editar o poner mi script de firewall. Espero que se haya entendido. Gracias Gustavo Nuñez -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
script de iptables
Hola, hasta ahora siempre armo mi firewall a traves de un script de iptables que corro en /etc/init.d/firewall con sus respectivos links simbolicos a los runlevels correspondientes que creo a mano, pero uso woody r1 y quisiera saber si hay algun lugar predefinido para mi debian, es decir en donde se deberia colocar el script de iptables para que corra en el inicio segun debian, porque segun veo hay algo asi pero no pude encontrar a donde debo editar o poner mi script de firewall. Espero que se haya entendido. Gracias Gustavo Nuñez