Filosofia de Murphy Sonría. Mañana puede ser peor.

EN CONSTRUCCIÓN


sábado, octubre 13, 2012

25 reglas para iptables

   





1. Eliminar todas las reglas existentes
iptables -F

2. Establecer políticas por defecto
iptables -P INPUT
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

3. Bloquear una dirección específica
#BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP

4. Permitir conexiones entrantes SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5. Permitir conexiones entrantes SSH sólo a una red específica
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6. Permitir HTTP entrante
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

7. Permitir HTTPS entrante
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

8. Multipuerto (Permitir entrantes SSH, HTTP y HTTPS)
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

9. Permitir salir SSH
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

10. Permitir salir SSH sólo a una red específica
iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

11. Permitir salir HTTPS
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

12. Carguar HTTPS balanceado
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

13. Permitir ping desde el interior al exterior
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

14. Permitir ping desde el exterior al interior
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

15. Permitir el acceso loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

16. Permitir que los paquetes de red interna salgan a la red externa.
# if eth1 is connected to external network (internet)
# if eth0 is connected to internal network (192.168.1.x)
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

16. Permitir consultas DNS
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

17. Permitir conexiones NIS
#rpcinfo -p | grep ypbind ; This port is 853 and 850
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
iptables -A INPUT -p udp --dport 850 -j ACCEPT

18. Permitir rsync de una red específica
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

19. Permitir conexión MySQL sólo desde una red específica
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

20. Permitir Sendmail o Postfix
iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

21. Permitir IMAP y IMAPS
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

22. Permitir POP3 y POP3S
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

23. Prevenir ataques DoS
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

24. Reenvío de puertos 422 to 22
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22
iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

25. Log de paquetes rechazados
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
iptables -A LOGGING -j DROP

ATENCIÓN:
Este ejemplo vale la pena analizar, por que hay que tener en cuenta, ya que algunas de las reglas que estan arriba son para servidores que permiten la entrada de paquetes nuevo (NEW)

iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -p udp –dport 53 –m state – -state NEW,RELATED,ESTABLISHED -j ACCEPT

Esta regla ahora dice que vamos a reenviar todo lo que venga por la tarjeta eth0 desde la red 10.0.0.0/8 a través de udp y al puerto de destino del DNS de la máquina de remota siempre y cuando seamos nosotros los que empezamos la conexión(NEW) ya la hayamos establecido (ESTABLISHED) o que están relacionadas(RELATED) como puede ser el inicio de la conexión o los puertos 20 u 21 del ftp.

iptables -A FORWARD -i eth1 -d 10.0.0.0/8 -p udp –sport 53 –m state – -state RELATED,STABLISHED -j ACCEPT

En esta otra regla con el cambio que hemos realizado significa que solo vamos a aceptar las conexiones desde el 53 mientras la conexión ya este establecida o esté relacionada. A final de cuentas estamos impidiendo que alguien inicie la conexión porque podrían entrar en nuestro firewall y nosotros tendríamos una falsa ilusión de seguridad con este firewall. Ahora es mucho más difícil que nos puedan colar algo que no queremos que entre en nuestra red.





Fuentes de Información

thegeekstuff.com/scripts/iptables-rules
Publicado por Valle de la Sombras en 11:13 a.m.
Enviar esto por correo electrónicoBlogThis!Compartir en XCompartir en FacebookCompartir en Pinterest
Etiquetas: Herramientas

No hay comentarios.:

Publicar un comentario

Entrada más reciente Entrada antigua Página Principal
Suscribirse a: Comentarios de la entrada (Atom)

Buscar este blog

chat


Mi lista de blogs

  • GNU/Linux. MuyLinux
    VMware Workstation y Fusion, gratis para todo el mundo - Tal y como publican nuestros compañeros de MC, VMware Workstation se pasa por entero al modelo gratuito. Esta noticia es en realidad una extensión de una...
    Hace 1 día.
  • OMG! Ubuntu!
    Automatic Tiling Added to ‘Tiling Shell’ GNOME Extension - I’d promise to shut up about the Tiling Shell GNOME Shell extension but I can’t because new features are coming thick and fast — the latest: support for ...
    Hace 1 día.
  • EL CAJÓN DE GRISOM
    Truco o trato y el racionamiento - Los estragos de la Segunda Guerra Mundial llevaron a establecer el racionamiento de multitud de productos y entre ellos se encontraba el azúcar, el ingre...
    Hace 6 días.
  • AndroidZone
    Las 5 mejores aplicaciones para pagar el parquímetro o zona azul, verde desde el móvil en España - Si resides en España y tienes coche entonces seguramente has tenido que lidiar con el parquímetro al momento de aparcar en las zonas con Servicio de Esta...
    Hace 2 años.
  • Ubuntu Life
    Ubuntu 21.10 (Impish Indri) final disponible - Desde éste pasado Jueves se encuentra ya disponible para descarga la versión final de Ubuntu 21.10. Entre sus caracteristicas: GNOME 40 Nuevas aplicaciones...
    Hace 3 años.
  • El Androide Libre
    Google Lens se incluirá en la barra de búsqueda del Pixel Launcher - A Google Lens los chicos de Mountain View están comenzando a darle bastante importancia y veremos a esta app incluso en Android 12. Ahora conocemos que e...
    Hace 3 años.
  • WELCOME TO MY FREAK GEEK WORLD
    Free Download 2002 yamaha z150txra outboard service repair maintenance manual factory Kindle Unlimited PDF - *Download Ebook 2002 yamaha z150txra outboard service repair maintenance manual factory Printed Access Code PDF* Download 2002 yamaha z150txra outboar...
    Hace 3 años.
  • LLANO MUSICAL
    Contra punteos deJorge Guerrero - Coleccion de Oro - Nos complace traerles esta coleccion de 46 contrapunteos del Guerrero del folklore. Son cuatro archivos rar independientes. Descargar: Archivo 1 (56...
    Hace 4 años.
  • PUTODROIDE
    Free Fire - Battlegrounds - Free Fire - Battlegrounds es el último juego de supervivencia disponible en el móvil. Usted comienza cada partido de 10 minutos en una isla remota, luch...
    Hace 6 años.
  • Web Upd8 - Ubuntu / Linux blog
    How To Flash Android (Flyme) On Meizu MX4 Ubuntu Edition - [image: Meizu MX4 Ubuntu Edition] This is a quick guide for how to reflash Fyme OS on Meizu MX4 Ubuntu Edition. Flyme is based on Android with some redesig...
    Hace 7 años.
  • lubuntu blog
    Happy Halloween! - The traditional Samhein (Halloween) wallpapers are here! This time we celebrate the Wily Werewolf cycle and, of course, a Celtic themed one. Happy creepy s...
    Hace 9 años.
  • AndroidVZLA
    Como Hacer ROOT el Motorola Moto G todas las versiones - Desbloquear el Bootloader NOTA: Este método sirve para los tres casos de root de más abajo. Lo primero que tenemos que hacer es desbloquear el bootload...
    Hace 9 años.
  • Trucos Para unir Blogger con facebook
    APP VIRAL VIDEO FACEBOOK PARA BLOGGER - Hola para los que esperaban la app facebook viral para blogger bueno ya esta aquí PARA CONTACTAR CON EL CREADOR https://www.facebook.com/AxxeLiitoo LO QUE...
    Hace 11 años.
  • ....
    Teclado Inteligente para tu Android UM840 - Nuestros SmartPhone lo usamos en menor o mayor medida para escribir correos, documentos, sms, realizar búsquedas en Internet, en fin tantas cosas que neces...
    Hace 12 años.
  • Machetazos Zine - Arg
    Argentina Grind Gore Mafia Blog - *www.argentinagrindgoremafia.blogspot.com*
    Hace 13 años.
  • UBUNTU PARA CURIOSOS
    HACER QR PERSONALIZADO - Descubrí que en un blog de un caricaturista por ahí se hallaba un código de barras QR como este: Pues bien, estos códigos QR están diseñados para almacena...
    Hace 14 años.
  • RT - Noticias internacionales
    -
  • Android Latino
    -
  • Descargar
    -
  • Abaddon Corporation®
    -
  • AndroidVe - Un Androide en Venezuela
    -
  • http://www.facebook.com/pages/Huawei-Um840-Ve/135640743170589
    -
  • DeltaLibros - Libros PDF Gratis en Descarga DIrecta
    -

Blog Archive

  • ►  2023 (5)
    • ►  octubre (4)
    • ►  marzo (1)
  • ►  2015 (1)
    • ►  agosto (1)
  • ►  2013 (42)
    • ►  agosto (6)
    • ►  julio (10)
    • ►  junio (4)
    • ►  mayo (1)
    • ►  marzo (18)
    • ►  enero (3)
  • ▼  2012 (137)
    • ►  diciembre (9)
    • ►  noviembre (5)
    • ▼  octubre (17)
      • Cosas que hay que hacer despues de instalar Ubuntu...
      • AriOS 4 - Basada en Ubuntu 12.04 LTS
      • Android app en cualquier PC
      • ¿instalar Windows 8?
      • MeX Linux 12.04
      • VueScan 9.1.16 ofrece soporte para más impresoras
      • Asturix 4, una distribución muy interesante
      • gpg cifrar archivos en linux y windows
      • Huayra - El Sistema Operativo de Conectar Igualdad
      • 25 reglas para iptables
      • Wammu sincroniza teléfonos móviles con Ubuntu
      • instalar Kernel 3.6.1 en Ubuntu12.04 de una manera...
      • Linux+HTML5= Webconverger: una distribución GNU/Li...
      • Obtener claves WiFi con Android: HHG5XX Wep Scanner
      • ROSA 2012.1 Alpha 2
      • Proyecto Canaima Caribay
      • Presenta Plan de solución del Secure Boot
    • ►  septiembre (12)
    • ►  agosto (7)
    • ►  julio (19)
    • ►  junio (38)
    • ►  mayo (15)
    • ►  marzo (2)
    • ►  febrero (1)
    • ►  enero (12)
  • ►  2011 (403)
    • ►  diciembre (9)
    • ►  noviembre (4)
    • ►  octubre (36)
    • ►  septiembre (41)
    • ►  agosto (33)
    • ►  julio (149)
    • ►  junio (126)
    • ►  mayo (2)
    • ►  marzo (1)
    • ►  febrero (2)
  • ►  2010 (36)
    • ►  septiembre (2)
    • ►  agosto (27)
    • ►  julio (7)
  • ►  2009 (2)
    • ►  junio (1)
    • ►  marzo (1)
  • ►  2008 (41)
    • ►  diciembre (2)
    • ►  junio (2)
    • ►  abril (1)
    • ►  marzo (36)
  • ►  2007 (87)
    • ►  noviembre (11)
    • ►  octubre (14)
    • ►  agosto (12)
    • ►  julio (41)
    • ►  junio (9)
  • ►  2006 (1)
    • ►  octubre (1)

Etiquetas

  • ANAHUAK MEXIHKAYOTL BLACK METAL (1)
  • android (61)
  • antivirus (1)
  • apps o apk (41)
  • ARTICULO/OPINIONES (89)
  • Atmosférico (1)
  • b (1)
  • Black Ambiental (10)
  • Black Death (11)
  • Black Folk (6)
  • Black Gotico (2)
  • Black Melodico (7)
  • Black metal (38)
  • Black/Doom (5)
  • Brutal Death Metal (5)
  • buscadores (2)
  • CANAIMA (3)
  • celtica (2)
  • Cine (7)
  • citas (7)
  • cocina y bebidas (11)
  • conspiración (11)
  • curiosidades (85)
  • Death Melodico (16)
  • Death Metal (40)
  • Death/Grind (4)
  • DEBIAN (12)
  • Doom Metal (10)
  • DoomDeath (14)
  • DVD (1)
  • Folk (3)
  • GNU (7)
  • GORE (5)
  • GRIND (7)
  • HEAVY METAL (10)
  • Herramientas (90)
  • humor (21)
  • imágenes o fotografías (37)
  • industrial (1)
  • info (83)
  • infografía (5)
  • JOROPO (2)
  • Juegos (10)
  • Libro (10)
  • Linux (117)
  • METAL 100% VENEZOLANO (21)
  • Momentos y Mariqueras (9)
  • movilnet (1)
  • Musica Clasica (1)
  • Musica Relajante (2)
  • Noticias (106)
  • novedades (63)
  • otras jodas (25)
  • Poesia (3)
  • PornoGore (6)
  • Post-Rock (2)
  • Power Metal (5)
  • Programas (104)
  • progresivo (7)
  • RADIO (1)
  • Recetas (3)
  • Rock (2)
  • rom (1)
  • Sistema Operativo (54)
  • symbian (1)
  • tecnologia (35)
  • temas (2)
  • Thrash Metal (13)
  • Thrash/black (3)
  • Thrash/Death (5)
  • TOKES (5)
  • true black metal (13)
  • ubun (1)
  • ubuntu (94)
  • VIDEOS (6)
  • widgets (2)
  • दूम्दाथ (1)

mapa


Profile Visitor Map - Click to view visits
Create your own visitor map

Seguidores
Tema Sencillo. Imágenes del tema de dino4. Con tecnología de Blogger.