Re: [Ayuda] ipchains

To: Fernando Barajas Díaz_Lozano <fbdl en sistec com mx>
Subject: Re: [Ayuda] ipchains
From: Abel Hernandez Zanatta <ahernandez en aguascalientes gob mx>
Date: Mon, 23 Sep 2002 09:06:52 -0500
Cc: ayuda en linux org mx
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Organization: Isssspea
References: <296320-22002952010119448@M2W047.mail2web.com> <20020921004335.GA6310@tacvbo.net> <03bc01c26105$04f040a0$ab492d0a@fer> <63806.10.1.18.205.1032572005.squirrel@www.isssspea.gob.mx> <002a01c2611f$7d1d7c40$ab492d0a@fer>
Sender: ayuda-admin en linux org mx
User-agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.9) Gecko/20020513

OK ahi te va, esto no es un ejemplo a seguir es algo mas bien para quete des una idea, tampoco digo que esta perfecto pero al menos puede quete des una idea mas concreta, este podria ser un script que llamascuando ya se cargan todos tus scripts de arranque, por ejemplo en rc.local:


Primero limpiamos las cadenas, en caso de que reiniciemos el firewall:

#Limpio cadenas
ipchains -F input
ipchains -F forward
ipchains -F output

Luego establecemos la politica por default:

#Politica por default
ipchains -P input ACCEPT
ipchains -P forward DENY
ipchains -P output ACCEPT

Notese que estoy usando la tres cadenas basicas, aunque claro puedocrear mas... eso ya es cuestion de gustos.... ahora voy a empezar adefinir mis reglas.... el ORDEN es importante:


#Para la entrada (input)
ipchains -A input -s 0/0 -d 0/0 -i lo -j ACCEPT
ipchains -A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT

Que quiere decir esto, que acepto todo lo que venga de cualquierdireccion -s 0/0 y que va a cualquier direccion -d 0/0 de mi interfacedummy local o 127.0.0.1 como la conozcas y de mi interface en la LAN quese supone que son los weyes que conozco. Voy a suponer que mi red es la192.168.1.0


ipchains -A input -s 192.168.1.0/24 -d 0/0 -i ppp0 -j ACCEPT

Acepto todo de mi red hacia internet.

ipchains -A input -s 148.xxx.xxx.xxx 53 -d 0/0 -p udp -j ACCEPT

Acepto resoluciones del dns.

Aguas aqui puede variar la cosa, depende de como tengas tu dns... esdecir si lo tiene local y usas un forwarder o depende de como lo uses.


ipchains -A input -s 0/0 -d  192.168.1.1 80 -p tcp -j ACCEPT
ipchains -A input -s 0/0 -d  192.168.1.1 443 -p tcp -j ACCEPT
ipchains -A input -s 0/0 -d  192.168.1.1 25 -p tcp -j ACCEPT
ipchains -A input -s 0/0 -d  192.168.1.1 53 -p udp -j ACCEPT
ipchains -A input -s 0/0 -d  192.168.1.1 22 -p udp -j ACCEPT
ipchains -A input -s 0/0 -d  192.168.1.1 23 -p udp -j ACCEPT

Abres los puertos que requieras, http, https,smtp,dns,ssh,telnet etc etc

Y finalmente rechazas y logeas todo lo que no quieras:

ipchains -A input -l -s 0/0 -d 0/0 -p tcp -y -j REJECT
ipchains -A input -l -s 0/0 -d 0/0 -p udp -j REJECT

Ahora las reglas forward:

#Forward para que?  Para que salgan a Internet:

Si quieres toda la red:

ipchains -A forward -s 192.168.1.0/24 -j MASQ

De salida esta por default en aceptar, no tiene mucho caso hacer ningunaregla... claro al menos que no quieras que salga algo de adentro haciaafuera.

Y claro habiltar el ip_forward pero creo que eso ya lo tenias en elfragmento anterior que pusiste.

Como te digo, todo esto depende de como tengas tu red, pero es algobasico con lo que puedes empezar.

El HOWTO de ipchains viene muy bien explicado, y te puedes basar en el,que es lo que te recomiendo sobre todo para que entiendas esto mas a fondo.

IPTABLES se configura en cierta forma de manera similar, pero CUIDADO,cambian algunas cosas de forma sustancial por que iptables tiene muchasmas chucherias para hacer otro tipo de cosas como trafffic shapping NATmas complejo y otras cosillas.

Probablemente esto te va a complicar mas la existencia, pero esimportante que lo uses y lo conozcas, al menos si tu intencion esproteger bien tu red de influencias externas.


Salux


















Fernando Barajas Díaz_Lozano wrote:

No se si lo que pusiste es solo un fragmento de las reglas que estes
usando o sean todas, por lo veo a lo mejor solo es un fragmento..  por que
solo veo la regla de forwardeo...



No soy experto en esto, solo copie la "Rusty's 3 line guide", y es la unica
regla que tengo.

Pero no se como tengas tus reglas de salida y de entrada o si las tengas
definadas por default com ACCEPT o que ondas.



No tengo ninguna regla extra, por eso estoy preguntando como hacerle :-)

Aparte de abrir los puertos correspondientes con unas reglas extras,



Me lo podrías explicar con palitos y bolitas?  El man ipchains es medio
dificil pa' los novatos :-)

mejor informado de los posibles ataques de los que puedas ser objeto.



Me parece buena idea.  Deja sigo estudiando.

mejor que fueras usando iptables ya que de aqui en delante probablemente



Y qué tan fácil de configurar es?




--
Ing. Abel Hernandez Zanatta
Isssspea
Soporte Tecnico y Redes
01(449)910-2080 ext. 3835 01(449)910-2081 Cell 044 449 4486118

_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Referencias:
- Re: [Ayuda] quiero linux
  - De: pop cancun com 016 en cancun com
- Re: [Ayuda] quiero linux
  - De: Ta^3 Deftkore
- [Ayuda] ipchains
  - De: Fernando Barajas Díaz_Lozano
- Re: [Ayuda] ipchains
  - De: Abel Hernandez Zanatta
- Re: [Ayuda] ipchains
  - De: Fernando Barajas Díaz_Lozano

Previo por Fecha: Re: [Ayuda] ipchains
Siguiente por Fecha: Re: [Ayuda] quiero linux
Previo por Hilo: Re: [Ayuda] ipchains
Siguiente por Hilo: Re: [Ayuda] quiero linux

[Hilos de Discusión] [Fecha] [Tema] [Autor]