[gugs] Aprovechando que estamos mareando el fw de SD...
Joseba Torre
joseba en sindominio.net
Lun Ago 20 00:17:54 CEST 2001
Aupa!
Como ya te han comentado, **parece** que falta algo que ponga la policy a deny
�no?
Por otro lado, si me pasas tu ip te escaneo :) y ya veremos cu�nto aguanta...
(en el curro he conseguido saltarme alg�n firewall **profesional**, con la
consiguiente bronca para quienes lo hab�an vendido :)...
Y ya para terminar, para que funcione el proxy trasparente �no hay que
recompilar squid con alguna opci�n especial? (no estoy seguro, pero me suena
haberlo leido....)
Aaaaaaaaaaaaagur.
On Sun, Aug 19, 2001 at 08:13:39PM +0200, Esteve Fern�ndez wrote:
> Hola. Como dice el subject, estamos toqueteando cosas del fw en
> fanelli (se est� discutiendo si lo dejamos permanente y actualizamos
> al kernel 2.4). Pues bien, yo tengo una minired en casa (b�sicamente
> da acceso a internet a mi madre y tb le permite usar la impresora) y
> tengo puestas unas reglas con iptables, os las paso por si alguien sabe
> c�mo mejorarlas (o si alguien quiere empezar en esto del fw), las he
> comentado explicando el caso concreto:
>
> # Hace un proxy transparente (si mi madre cambia de navegador, no
> # tendr� que cambiar nada en la configuraci�n)
> iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
> # Hace el masquerade para poderse conectar a internet
> iptables -A POSTROUTING -o ppp0 -j MASQUERADE
> # Crea una cadena personalizada
> iptables -N block
> # Permite el tr�fico desde eth0 (tarjeta ethernet) y el de loopback (local)
> iptables -A block -i eth0 -j ACCEPT
> iptables -A block -i lo -j ACCEPT
> # Las siguientes reglas bloquean cualquier intento de conexi�n y cualquier escaneo
> # de puertos desde internet a los puertos 25 (smtp-exim), 139 (netbios-samba),
> # 515 (lp compatibilidad con lpr), 631 (cups, el servicio de impresi�n que tengo ahora),
> # 901 (swat, para configurar samba) y los del proxy (8080 y 8081)
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL SYN -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL NONE -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN,URG,PSH -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL ALL -j REJECT --reject-with tcp-reset
> # Hace que FORWARD e INPUT usen la cadena block
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
>
> No estoy seguro de c�mo optimizar las reglas que tengo puestas, por eso espero
> que alguien me diga algo. Seguro que me he pasado con tantas reglas, pero
> me sirvi� mucho para aprender a usar iptables (ya aprend� ipchains, pero como en esto
> hay que renovarse o morir... ;-)) Ad�u.
------------ pr�xima parte ------------
Se ha borrado un mensaje que no est� en formato texto plano...
Nombre : no disponible
Tipo : application/pgp-signature
Tama�o : 232 bytes
Descripci�n: no disponible
Url : /pipermail/gugs/attachments/20010820/1b2bb00c/attachment.pgp
M�s informaci�n sobre la lista de distribuci�n Gugs