[gugs] Aprovechando que estamos mareando el fw de SD...

[Esteve Fernàndez]

On Mon, 20 Aug 2001 11:56:37 +0200
joseba en sindominio.net (Joseba) wrote:

> > Cierto, ahora lo he puesto, además le he hecho unas modificaciones y
> > los módulos de REJECT y multiport (que antes eran cinco), los he
> > reducido a uno, manteniendo la misma idea (así no gasto tanta memoria).
> > Adéu.
> 
> Pues reenvía, reenvía...

Aquí va (copiado del iptables-save, por eso no tiene ni comentarios ni
la orden iptables):

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1:68]
:OUTPUT ACCEPT [1:68]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [47:5852]
:aduana - [0:0]
:anti-scan-reject - [0:0]
:scan-block - [0:0]
-A INPUT -j aduana 
-A FORWARD -j aduana
-A aduana -s 127.0.0.0/255.255.255.0 -d 127.0.0.0/255.255.255.0 -i lo -j ACCEPT 
-A aduana -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT 
-A aduana -s 127.0.0.0/255.255.255.0 -i ppp0 -j DROP
-A aduana -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROP
-A aduana -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -j scan-block
-A aduana -i lo -j anti-scan-reject
-A aduana -i ppp0 -j ACCEPT
-A anti-scan-reject -p tcp -j REJECT --reject-with tcp-reset
-A scan-block -p tcp -m tcp --tcp-flags ALL SYN -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL FIN -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL NONE -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL FIN,PSH,URG -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL ALL -j anti-scan-reject
-A scan-block -p tcp -j anti-scan-reject
COMMIT

Sé que hay muchas reglas, pero depende de dónde se pongan van mejor que
poniendo pocas. Como no están en INPUT o FORWARD, no necesita analizar
del todo todos los paquetes, si detecta alguna anomalía (escaneos, ip-spoof, etc.)
salta a la regla necesaria o simplemente hace un DROP.
He hecho caso de lo que decían Joseba y matze, he puesto una política (sería
la traducción correcta de policy?) de DROP en INPUT y FORWARD, aunque al final
de la regla "aduana" he puesto ACCEPT, que hace como si tuviese la política
en ACCEPT, pero después de analizar los paquetes.
Como ya dije, de esta forma sólo se usa un multiport y un REJECT (sé que
parece un poco absurdo el anti-scan-reject, pero es la única forma que
sólo cargue el módulo una vez).

> > PD: viste algo cuando hiciste el escaneo de puertos?
> 
> No... porque de hecho no te he escaneado aún. Pensaba que tenías adsl
> :). Si me das la ip que tienes ahora (si estás enchufado), te lo hago ya
> mismo.

Ja, ja, ja. Pues recibí varios escaneos justo cuando dije la IP Si hay
alguien por aquí de los que lo hicieron, qué resultados han obtenido? Adéu.
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 232 bytes
Descripción: no disponible
Url        : /pipermail/gugs/attachments/20010820/80811026/attachment.pgp