El Miércoles, 9 de Marzo de 2005 01:24, Joaquin Felipe escribió:
ismo me pasa con webmin, que usa el puerto 10000 y que q
Antes de nada saludarles porque hace mucho que no escribo en la lista y por lo tanto, respondo a este mensaje con "responder" de KMail, decidme por favor si es correcto. Respecto a los puertos aquí unas reglas de iptables :) explicadas por supuesto Harás un script: #!/bin/bash iptables -A INPUT -i eth0 -s 192.168.0.0/16 -p tcp -m multiport --sports 139,2049,10000 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.0/16 -p udp -m multiport --sports 139,2049 -j ACCEPT iptables -A INPUT -i eth1-s any/0 -p tcp -m multiport --sports 139,2049,10000 -j DROP iptables -A INPUT -i eth1 -s any/0 -p udp -m multiport --sports 139,2049,10000 -j DROP Basicamente eso, te explico: 1 - regla nueva de trafico entrante, desde una red de clase C y mediante el protocolo TCP permite conectar a 139 2049 y 10000 2 - Al igual que el anterior, pero mediante protocolo UDP y permite conectar solo al 139 y 2049 (el webmin no usa udp que yo sepa) 3 y 4 - Bloquea todo el tráfico a esos puertos Esto va en cascada, se empieza a ejecutar de arriba a abajo, osea si quieres ñadir algo ha de ser antes de bloquearlo. NFS permítelo solo a la red local. YO haría esto, suponiendo que eth0 es la LAN y eth1, por ejemplo internet #!/bin/bash iptables -A INPUT -i eth0-s 192.168.0.0/16 -p tcp -m multiport --sports 139,2049,10000 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.0/16 -p udp -m multiport --sports 139,2049 -j ACCEPT iptables -A INPUT -i eth1 -s any/0 -p tcp -dport 1:65535 -j DROP iptables -A INPUT -i eth1 -s any/0 -p udp -dport 1:65535 -j DROP Eso bloqueará todo y solo permitirá acceso al servidor desde la red a esos 3 puertos, en caso que un dia necesites un servidor web y ftp (lo necesitas he leido), por ejemplo, bastara con modificarlo de modo que quede así: #!/bin/bash iptables -A INPUT -i eth0 -s 192.168.0.0/16 -p tcp -m multiport --sports 139,2049,10000 -j ACCEPT iptables -A INPUT -i eth0-s 192.168.0.0/16 -p udp -m multiport --sports 139,2049 -j ACCEPT iptables -A INPUT -i eth1-s any/0 -p tcp -m multiport --dports 20,21,80 -j ACCEPT iptables -A INPUT -i eth0-s any/0 -p tcp -m multiport --dports 20,21,80 -j ACCEPT iptables -A INPUT -i eth1-s any/0 -p tcp -dport 1:65535 -j DROP iptables -A INPUT -i eth1-s any/0 -p udp -dport 1:65535 -j DROP Aclaraciones: any/0 significa TODOS. Hay otras redes como clase A (10.0.0.0/8) o clase B (172.16.0.0/12) -i eth1 especifica que la interface de entrada es eth1 Necesitas iptables y soporte en el kernel (por defecto lo tiene) Te recomiendo leer esto para conocer mas opciones: http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewal... http://www.pello.info/filez/IPTABLES_en_21_segundos.html Espero que te sirva de ayuda -- Use the power, use the Open Source Canal #suse del IRC-Hispano, visitanos!