[gugs] Aprovechando que estamos mareando el fw de SD...

[Esteve Fern�ndez]

On Mon, 20 Aug 2001 11:56:37 +0200
joseba en sindominio.net (Joseba) wrote:

> > Cierto, ahora lo he puesto, adem�s le he hecho unas modificaciones y
> > los m�dulos de REJECT y multiport (que antes eran cinco), los he
> > reducido a uno, manteniendo la misma idea (as� no gasto tanta memoria).
> > Ad�u.
> 
> Pues reenv�a, reenv�a...

Aqu� va (copiado del iptables-save, por eso no tiene ni comentarios ni
la orden iptables):

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [1:68]
:OUTPUT ACCEPT [1:68]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [47:5852]
:aduana - [0:0]
:anti-scan-reject - [0:0]
:scan-block - [0:0]
-A INPUT -j aduana 
-A FORWARD -j aduana
-A aduana -s 127.0.0.0/255.255.255.0 -d 127.0.0.0/255.255.255.0 -i lo -j ACCEPT 
-A aduana -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT 
-A aduana -s 127.0.0.0/255.255.255.0 -i ppp0 -j DROP
-A aduana -s 192.168.0.0/255.255.255.0 -i ppp0 -j DROP
-A aduana -p tcp -m multiport --dports 25,139,515,631,901,8080,8081 -j scan-block
-A aduana -i lo -j anti-scan-reject
-A aduana -i ppp0 -j ACCEPT
-A anti-scan-reject -p tcp -j REJECT --reject-with tcp-reset
-A scan-block -p tcp -m tcp --tcp-flags ALL SYN -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL FIN -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL NONE -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL FIN,PSH,URG -j anti-scan-reject
-A scan-block -p tcp -m tcp --tcp-flags ALL ALL -j anti-scan-reject
-A scan-block -p tcp -j anti-scan-reject
COMMIT

S� que hay muchas reglas, pero depende de d�nde se pongan van mejor que
poniendo pocas. Como no est�n en INPUT o FORWARD, no necesita analizar
del todo todos los paquetes, si detecta alguna anomal�a (escaneos, ip-spoof, etc.)
salta a la regla necesaria o simplemente hace un DROP.
He hecho caso de lo que dec�an Joseba y matze, he puesto una pol�tica (ser�a
la traducci�n correcta de policy?) de DROP en INPUT y FORWARD, aunque al final
de la regla "aduana" he puesto ACCEPT, que hace como si tuviese la pol�tica
en ACCEPT, pero despu�s de analizar los paquetes.
Como ya dije, de esta forma s�lo se usa un multiport y un REJECT (s� que
parece un poco absurdo el anti-scan-reject, pero es la �nica forma que
s�lo cargue el m�dulo una vez).

> > PD: viste algo cuando hiciste el escaneo de puertos?
> 
> No... porque de hecho no te he escaneado a�n. Pensaba que ten�as adsl
> :). Si me das la ip que tienes ahora (si est�s enchufado), te lo hago ya
> mismo.

Ja, ja, ja. Pues recib� varios escaneos justo cuando dije la IP Si hay
alguien por aqu� de los que lo hicieron, qu� resultados han obtenido? Ad�u.
------------ pr�xima parte ------------
Se ha borrado un mensaje que no est� en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tama�o     : 232 bytes
Descripci�n: no disponible
Url        : /pipermail/gugs/attachments/20010820/80811026/attachment.pgp