[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Primero limpiamos las cadenas, en caso de que reiniciemos el firewall: #Limpio cadenas ipchains -F input ipchains -F forward ipchains -F output Luego establecemos la politica por default: #Politica por default ipchains -P input ACCEPT ipchains -P forward DENY ipchains -P output ACCEPTNotese que estoy usando la tres cadenas basicas, aunque claro puedo crear mas... eso ya es cuestion de gustos.... ahora voy a empezar a definir mis reglas.... el ORDEN es importante:
#Para la entrada (input) ipchains -A input -s 0/0 -d 0/0 -i lo -j ACCEPT ipchains -A input -s 0/0 -d 0/0 -i eth0 -j ACCEPTQue quiere decir esto, que acepto todo lo que venga de cualquier direccion -s 0/0 y que va a cualquier direccion -d 0/0 de mi interface dummy local o 127.0.0.1 como la conozcas y de mi interface en la LAN que se supone que son los weyes que conozco. Voy a suponer que mi red es la 192.168.1.0
ipchains -A input -s 192.168.1.0/24 -d 0/0 -i ppp0 -j ACCEPT Acepto todo de mi red hacia internet. ipchains -A input -s 148.xxx.xxx.xxx 53 -d 0/0 -p udp -j ACCEPT Acepto resoluciones del dns.Aguas aqui puede variar la cosa, depende de como tengas tu dns... es decir si lo tiene local y usas un forwarder o depende de como lo uses.
ipchains -A input -s 0/0 -d 192.168.1.1 80 -p tcp -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.1 443 -p tcp -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.1 25 -p tcp -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.1 53 -p udp -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.1 22 -p udp -j ACCEPT ipchains -A input -s 0/0 -d 192.168.1.1 23 -p udp -j ACCEPT Abres los puertos que requieras, http, https,smtp,dns,ssh,telnet etc etc Y finalmente rechazas y logeas todo lo que no quieras: ipchains -A input -l -s 0/0 -d 0/0 -p tcp -y -j REJECT ipchains -A input -l -s 0/0 -d 0/0 -p udp -j REJECT Ahora las reglas forward: #Forward para que? Para que salgan a Internet: Si quieres toda la red: ipchains -A forward -s 192.168.1.0/24 -j MASQDe salida esta por default en aceptar, no tiene mucho caso hacer ninguna regla... claro al menos que no quieras que salga algo de adentro hacia afuera.
Y claro habiltar el ip_forward pero creo que eso ya lo tenias en el fragmento anterior que pusiste.
Como te digo, todo esto depende de como tengas tu red, pero es algo basico con lo que puedes empezar.
El HOWTO de ipchains viene muy bien explicado, y te puedes basar en el, que es lo que te recomiendo sobre todo para que entiendas esto mas a fondo.
IPTABLES se configura en cierta forma de manera similar, pero CUIDADO, cambian algunas cosas de forma sustancial por que iptables tiene muchas mas chucherias para hacer otro tipo de cosas como trafffic shapping NAT mas complejo y otras cosillas.
Probablemente esto te va a complicar mas la existencia, pero es importante que lo uses y lo conozcas, al menos si tu intencion es proteger bien tu red de influencias externas.
Salux Fernando Barajas Díaz_Lozano wrote:
No se si lo que pusiste es solo un fragmento de las reglas que estes usando o sean todas, por lo veo a lo mejor solo es un fragmento.. por que solo veo la regla de forwardeo...No soy experto en esto, solo copie la "Rusty's 3 line guide", y es la unica regla que tengo.Pero no se como tengas tus reglas de salida y de entrada o si las tengas definadas por default com ACCEPT o que ondas.No tengo ninguna regla extra, por eso estoy preguntando como hacerle :-)Aparte de abrir los puertos correspondientes con unas reglas extras,Me lo podrías explicar con palitos y bolitas? El man ipchains es medio dificil pa' los novatos :-)mejor informado de los posibles ataques de los que puedas ser objeto.Me parece buena idea. Deja sigo estudiando.mejor que fueras usando iptables ya que de aqui en delante probablementeY qué tan fácil de configurar es?
-- Ing. Abel Hernandez Zanatta Isssspea Soporte Tecnico y Redes 01(449)910-2080 ext. 3835 01(449)910-2081 Cell 044 449 4486118 _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/