[gugs] Aprovechando que estamos mareando el fw de SD...

Dom Ago 19 21:09:43 CEST 2001

hola,

no sé mucho del firewalling pero en la mayoría de los actículos que he leído 
se recomende hacerlo al revés: en vez de permitir primero todo y poner 
entonces unas reglas que prohiben ciertas cosas, prohibir todo y sólo 
permitir las cosas que realmente necesitas. es más trabajo y al principio te 
encuentras con programas que no funcionen, pero tienes mucho más control. 
además usaría el DROP en lugar del REJECT, así un posible atacante no sabe si 
un programa escucha en el puerto, porque no recibe respuesta.

un recorte de mis reglas (estoy en los primeros pasos también):

<reglas de input permitido>

iptables -A INPUT -j LOG --log-level notice -m limit
iptables -A INPUT -j DROP

<reglas de output permitido>

iptables -A OUTPUT -j LOG --log-level notice -m limit
iptables -A OUTPUT -j DROP

saludos

matze

El Dom 19 Ago 2001 20:13, escribiste:
> Hola. Como dice el subject, estamos toqueteando cosas del fw en
> fanelli (se está discutiendo si lo dejamos permanente y actualizamos
> al kernel 2.4). Pues bien, yo tengo una minired en casa (básicamente
> da acceso a internet a mi madre y tb le permite usar la impresora) y
> tengo puestas unas reglas con iptables, os las paso por si alguien sabe
> cómo mejorarlas (o si alguien quiere empezar en esto del fw), las he
> comentado explicando el caso concreto:
>
> # Hace un proxy transparente (si mi madre cambia de navegador, no
> # tendrá que cambiar nada en la configuración)
> iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 8080 # Hace el masquerade para poderse conectar a internet
> iptables -A POSTROUTING -o ppp0 -j MASQUERADE
> # Crea una cadena personalizada
> iptables -N block
> # Permite el tráfico desde eth0 (tarjeta ethernet) y el de loopback (local)
> iptables -A block -i eth0 -j ACCEPT
> iptables -A block -i lo -j ACCEPT
> # Las siguientes reglas bloquean cualquier intento de conexión y cualquier
> escaneo # de puertos desde internet a los puertos 25 (smtp-exim), 139
> (netbios-samba), # 515 (lp compatibilidad con lpr), 631 (cups, el servicio
> de impresión que tengo ahora), # 901 (swat, para configurar samba) y los
> del proxy (8080 y 8081)
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081
> -m tcp --tcp-flags ALL SYN -j REJECT --reject-with tcp-reset iptables -A
> block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp
> --tcp-flags ALL FIN -j REJECT --reject-with tcp-reset iptables -A block -p
> tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags
> ALL NONE -j REJECT --reject-with tcp-reset iptables -A block -p tcp -m
> multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL
> FIN,URG,PSH  -j REJECT --reject-with tcp-reset iptables -A block -p tcp -m
> multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL ALL
> -j REJECT --reject-with tcp-reset # Hace que FORWARD e INPUT usen la cadena
> block
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
>
> No estoy seguro de cómo optimizar las reglas que tengo puestas, por eso
> espero que alguien me diga algo. Seguro que me he pasado con tantas reglas,
> pero me sirvió mucho para aprender a usar iptables (ya aprendí ipchains,
> pero como en esto hay que renovarse o morir... ;-)) Adéu.