Hola, una pregunta tonta, en tu scrip dice #No bloqueamos la LAN, no estaras accediendo desde la LAN, has mirado a conectarte desde el exterios y tambien te deja? vamos que está claro, si te deja desde un centro externo a tu red quiere decir que tienes por ahí una regla demasiado permisiva antes que las restritivas, no se pero he visto que tienes al principio del script esto "FORWARD ACCEPT", si tienes al principio esta regla, despues ya te da igual lo que pongas.... que te lo va ha pasar en el caso que tengas el firewall separado del servidor y hagas NAT de los puertos que acceptas en el script, no se si es el caso. Si no es este el caso, y el mismo firewall te hace de server pues aunque al princio haces un drop de todo, despues aceptas el trafico del puerto 80(reglas 12,13,14,15,16), vamos yo no se mucho, pero creo que aquí estas permitiendo, a ver que te dice la gente de la lista. Un saludo y suerte Hugo Castro
mira no se no soy novato pero el otro dia molestando en el google encontre esta web ojala sirva http://www.gentoo.org/doc/es/home-router-howto.xml y bueno disculpa si no bye pasala bien chao
El día 22/07/05, Leo
escribió: Amigos, estaba configurando mi iptables y noto ciertas cosas raras como por ejemplo, el puerto 25 lo tengo bloqueado para conexiones entrantes desde internet y al hacer un escaneo de puertos, efectivamente me dice que esta cerrado (obviamente que para hacer la prueba el postfix estaba corriendo). Ahora, el puerto 80 supuestamente tambien esta cerrado, pero me aparece como abierto, es mas, puedo acceder a la página de prueba del apache desde internet. Acá les dejo mi script de configuración de apache para que vean si encuentran algo raro.
############# COMIENZO DEL SCRIPT ################
#!/bin/bash echo -n Aplicando reglas del Firewall ... #Flush de reglas
iptables -F iptables -X iptables -Z iptables -t nat -F
##Politicas por defecto
iptables -P INPUT DROP && echo ok regla 1 iptables -P OUTPUT DROP && echo ok regla 2 iptables -P FORWARD ACCEPT && echo ok regla 3
iptables -A INPUT -i lo -j ACCEPT && echo ok regla 4 iptables -A OUTPUT -o lo -j ACCEPT && echo ok regla 5
iptables -A INPUT -i eth0 -j ACCEPT && echo ok regla 6 iptables -A OUTPUT -o eth0 -j ACCEPT && echo ok regla 7
#No bloqueamos la LAN iptables -A INPUT -i eth1 -j ACCEPT && echo ok regla 8 iptables -A OUTPUT -o eth1 -j ACCEPT && echo ok regla 9
#Permitimos DNS iptables -A INPUT -p udp --sport 53 -j ACCEPT && echo ok regla 10 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT && echo ok regla 11
#Permitimos WWW iptables -A INPUT -p tcp --sport 80 -j ACCEPT && echo ok regla 12 iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT && echo ok regla 13 iptables -A INPUT -p tcp --sport 443 -j ACCEPT && echo ok regla 14 iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT && echo ok regla 16
#Permitimos FTP iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT && echo ok regla 17 iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT && echo ok regla 18
#Permitimos SSH sólo desde el trabajo iptables -A INPUT -s ip_de_mi_trabajo -p tcp --dport 10022 -j ACCEPT && echo ok regla 19 iptables -A OUTPUT -d ip_de_mi_trabajo -p tcp --sport 10022 -j ACCEPT && echo ok regla 20
#Permitimos GMail (pop y smtp) #Pop iptables -A INPUT -p tcp --sport 995 -j ACCEPT && echo ok regla 21 iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT && echo ok regla 22 #Smtp iptables -A INPUT -p tcp --sport 587 -j ACCEPT && echo ok regla 23 iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT && echo ok regla 24
#Esta línea la puse de prueba por si la regla de bloquear los puertos del 1 al 1024 no funcionaa ... solo por probar. iptables -A INPUT -s 0.0.0.0/0 http://0.0.0.0/0 -p tcp --dport 80 -j DROP && echo port 80 blocked!
#Habilitamos la salida por los puertos no privilegiados iptables -A OUTPUT -p tcp --sport 1025:65535 -d 0.0.0.0/0http://0.0.0.0/0-j ACCEPT && echo ok regla 25 iptables -A OUTPUT -p udp --sport 1025:65535 -d 0.0.0.0/0http://0.0.0.0/0-j ACCEPT && echo ok regla 26
#ICMP iptables -A OUTPUT -p icmp -d 0.0.0.0/0 http://0.0.0.0/0 -j ACCEPT && echo ok regla 27 iptables -A INPUT -p icmp -s 0.0.0.0/0 http://0.0.0.0/0 -j DROP && echo ok regla 28
#Habilitamos NAT y el bit de FORWARDING iptables -t nat -A POSTROUTING -s 192.168.0.0/24 http://192.168.0.0/24-o eth0 -j MASQUERADE && echo ok regla 29 - NAT echo 1 > /proc/sys/net/ipv4/ip_forward && echo ok regla 30 - Bit de Forwarding
#Cerramos el resto de puertos privilegiados no usados iptables -A INPUT -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --dport 1:1024 -j DROP && echo ok regla 31 iptables -A INPUT -p udp -s 0.0.0.0/0 http://0.0.0.0/0 --dport 1:1024 -j DROP && echo ok regla 32
#Cerramos el puerto del ssh iptables -A INPUT -p tcp -s 0.0.0.0/0 http://0.0.0.0/0 --dport 10022 -j DROP && echo ok regla 33
############# FIN DEL SCRIPT ################
Saludos y gracias. Leo
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com