[gugs] Aprovechando que estamos mareando el fw de SD...

Joseba Torre joseba en sindominio.net
Lun Ago 20 00:17:54 CEST 2001 

Aupa!

Como ya te han comentado, **parece** que falta algo que ponga la policy a deny
¿no?

Por otro lado, si me pasas tu ip te escaneo :) y ya veremos cuánto aguanta...
(en el curro he conseguido saltarme algún firewall **profesional**, con la
consiguiente bronca para quienes lo habían vendido :)...

Y ya para terminar, para que funcione el proxy trasparente ¿no hay que
recompilar squid con alguna opción especial? (no estoy seguro, pero me suena
haberlo leido....)

Aaaaaaaaaaaaagur.

On Sun, Aug 19, 2001 at 08:13:39PM +0200, Esteve Fernàndez wrote:
> Hola. Como dice el subject, estamos toqueteando cosas del fw en
> fanelli (se está discutiendo si lo dejamos permanente y actualizamos
> al kernel 2.4). Pues bien, yo tengo una minired en casa (básicamente
> da acceso a internet a mi madre y tb le permite usar la impresora) y
> tengo puestas unas reglas con iptables, os las paso por si alguien sabe
> cómo mejorarlas (o si alguien quiere empezar en esto del fw), las he
> comentado explicando el caso concreto:
> 
> # Hace un proxy transparente (si mi madre cambia de navegador, no
> # tendrá que cambiar nada en la configuración)
> iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
> # Hace el masquerade para poderse conectar a internet
> iptables -A POSTROUTING -o ppp0 -j MASQUERADE 
> # Crea una cadena personalizada
> iptables -N block
> # Permite el tráfico desde eth0 (tarjeta ethernet) y el de loopback (local)
> iptables -A block -i eth0 -j ACCEPT
> iptables -A block -i lo -j ACCEPT 
> # Las siguientes reglas bloquean cualquier intento de conexión y cualquier escaneo
> # de puertos desde internet a los puertos 25 (smtp-exim), 139 (netbios-samba),
> # 515 (lp compatibilidad con lpr), 631 (cups, el servicio de impresión que tengo ahora),
> # 901 (swat, para configurar samba) y los del proxy (8080 y 8081)
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL SYN -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL NONE -j REJECT --reject-with tcp-reset
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL FIN,URG,PSH  -j REJECT --reject-with tcp-reset 
> iptables -A block -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -m tcp --tcp-flags ALL ALL -j REJECT --reject-with tcp-reset 
> # Hace que FORWARD e INPUT usen la cadena block
> iptables -A INPUT -j block
> iptables -A FORWARD -j block
> 
> No estoy seguro de cómo optimizar las reglas que tengo puestas, por eso espero
> que alguien me diga algo. Seguro que me he pasado con tantas reglas, pero
> me sirvió mucho para aprender a usar iptables (ya aprendí ipchains, pero como en esto
> hay que renovarse o morir... ;-)) Adéu.

------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 232 bytes
Descripción: no disponible
Url        : /pipermail/gugs/attachments/20010820/1b2bb00c/attachment.pgp

Más información sobre la lista de distribución Gugs