Gracias nuevamente por contestar, entonces si yo coloco esas lineas de relacionadas y establecidas queden aceptadas y luego le meto reglas y esas reglas que estan por debajo de las relacionadas y establecidas al ser nuevas se transforman en establecidas y relacionadas??? Un saludo. Esto me provoca confusión ya que en algunos manuales vienen y en otros ni lo mencionan por eso me reparo en esto
> Tu te has contestado, primero estableces la politica -P DROP > luegos abres lo que quieres abrir, si colocas que las entradas > establecidas > y relacionadas queden aceptadas. mas abajo colocas que las que son nuevas > entren, por lo tanto esas nuevas luego se trasnforman en establecidas y > relacionedas, > > Eso. > Saludos > > > > > El 16 de febrero de 2010 09:24, Maykel Franco Hernández > <may...@maykel.es>escribió: > >> Gracias por contestar pero si por ejemplo mi politica para INPUT es >> denegar todo hasta que yo no lo habilite. Que pintan esas reglas ahí?? >> Porque si habilito lo que yo quiera es porque yo quiero. Lo que me >> quiero >> referir con esto es si quitando esas lineas tambien funcionaría todo. >> >> >> > iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT >> > iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT >> > >> > Eso es para acceptar las conexiones ya establecidas o relacionadas. >> > >> > iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT >> > >> > y eso es lo mismo que >> > >> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT >> > >> > solo que hilando mas fino. y para puertos de destino (dport). >> > >> > Saludos >> > >> > El 16 de febrero de 2010 03:54, Maykel Franco Hernández >> > <may...@maykel.es>escribió: >> > >> >> > Estimado, seguramente tienes activado tu server ftp para >> conexiones >> >> > pasivas, >> >> > por lo tanto debes abrir los puertos altos en el firewall... echale >> un >> >> > vistazo a esto, a mi me soluciono el problema. >> >> > >> >> > >> >> >> http://www.ecualug.org/2008/12/05/forums/problemas_con_conexiones_pasivas_vsftpd_con_iptables >> >> > >> >> > Saludos desde Chile. >> >> > >> >> > El 15 de febrero de 2010 13:47, Maykel Franco Hernández >> >> > <may...@maykel.es>escribió: >> >> > >> >> >> Si te comento, solo uso una interface y el iptables está enel >> propio >> >> >> servidor, es decir, no hay un servidor entre la red local y el >> router >> >> >> que >> >> >> funciona como firewall. La idea es aprender simplemente, y tengo >> un >> >> >> servidor web, ssh, samba y ftp. Y la configuracion que he dejado >> me >> >> >> funciona todo menos el ftp que se que hace el intento de >> conectarse >> >> bien >> >> >> pero se queda en la parte final y no lista el directorio y mi >> >> consulta >> >> >> era >> >> >> esa porque funciona con esos servicios y no con ftp nada más. Un >> >> saludo >> >> >> y >> >> >> gracias por interesarte. >> >> >> >> >> >> >> >> >> > la cosa esta en que no has especificado la configuracion de tu >> >> server, >> >> >> al >> >> >> > parecer solo estas usando una interface, ¿solo lo usas para web? >> >> >> > ¿ cuantas tarjetas tienes de red tienes alli? >> >> >> > >> >> >> > Saludos >> >> >> > >> >> >> > >> >> >> > Aland Laines Calonge >> >> >> > Tecnico en Informatica >> >> >> > >> >> >> > >> >> >> > >> >> >> > El 15 de febrero de 2010 09:16, Maykel Franco Hernández >> >> >> > <may...@maykel.es>escribió: >> >> >> > >> >> >> >> Gracias por contestar. Entonces lo que no sé es porque me >> funciona >> >> el >> >> >> >> servidor web tal y como está, ssh tambien me funciona y el >> samba >> >> >> (puerto >> >> >> >> 445) tambien me funciona tal y como lo he puesto ahi sin meter >> >> reglas >> >> >> de >> >> >> >> entrada y salida o es que el ftp se comporta de distinta manera >> >> >> porque >> >> >> >> si >> >> >> >> no, no lo entiendo... >> >> >> >> >> >> >> >> >> >> >> >> > Hola, el problema esta en que cuando tienes las politicas en >> >> drop >> >> >> por >> >> >> >> > defecto, las reglas para abrir un servicio deben ser de >> entrada >> >> y >> >> >> de >> >> >> >> > salida, >> >> >> >> > algo como: >> >> >> >> > >> >> >> >> > /sbin/iptables -A INPUT -i $EXTIF -p tcp --sport 21 -m state >> >> >> --state >> >> >> >> > ESTABLISHED -j ACCEPT >> >> >> >> > /sbin/iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -m state >> >> >> --state >> >> >> >> > NEW,ESTABLISHED -j ACCEPT >> >> >> >> > donde $EXTIF es la tarjeta de red que va conectada al >> router. >> >> >> >> > >> >> >> >> > Saludos, >> >> >> >> > >> >> >> >> > Aland Laines Calonge >> >> >> >> > Tecnico en Informatica >> >> >> >> > >> >> >> >> > >> >> >> >> > >> >> >> >> > El 15 de febrero de 2010 08:57, Maykel Franco Hernández >> >> >> >> > <may...@maykel.es>escribió: >> >> >> >> > >> >> >> >> >> Hola muy buenas, estoy familiarizandome con el uso de >> iptables >> >> >> para >> >> >> >> >> servidores y tengo la siguiente configuracion basica: >> >> >> >> >> >> >> >> >> >> #!/bin/bash >> >> >> >> >> >> >> >> >> >> #-s Especifica una direcci�n de origen >> >> >> >> >> #-d Especifica una direcci�n de destino >> >> >> >> >> #-p Especifica un prototocolo >> >> >> >> >> #-i Especifica un interface de entrada >> >> >> >> >> #-o Especifica un interface de salida >> >> >> >> >> #-j Especifica la acci�n a ejecutar sobre el paquete >> >> >> >> >> #--sport Puerto de origen >> >> >> >> >> #--dport Puerto de destino >> >> >> >> >> >> >> >> >> >> #Borrar todas las reglas >> >> >> >> >> iptables -F >> >> >> >> >> >> >> >> >> >> #Politica general.Cerramos todo.Dejamos entrar y salir lo >> >> >> solicitado >> >> >> >> >> iptables -P INPUT DROP >> >> >> >> >> iptables -P OUTPUT ACCEPT >> >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j >> >> ACCEPT >> >> >> >> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j >> >> ACCEPT >> >> >> >> >> >> >> >> >> >> # Permitimos que se conecten a nuestro servidor web. >> >> >> >> >> >> >> >> >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j >> >> ACCEPT >> >> >> >> >> iptables -A INPUT -p TCP --dport 22 -j ACCEPT >> >> >> >> >> >> >> >> >> >> # Permitimos la comunicaci�n con el servidor dns >> >> >> >> >> iptables -A INPUT -p UDP --dport 53 -j ACCEPT >> >> >> >> >> iptables -A INPUT -p TCP --dport 53 -j ACCEPT >> >> >> >> >> >> >> >> >> >> #Permitimos uso de ftp. >> >> >> >> >> iptables -A INPUT -p TCP --dport 21 -j ACCEPT >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> >> La politica por defecto es rechazar todo lo que entra menos >> >> para >> >> >> el >> >> >> >> >> servidor web, ssh, dns y ftp. Todo funciona correctamente >> pero >> >> el >> >> >> ftp >> >> >> >> no >> >> >> >> >> logro conectarme. Para el ftp solo habilito el 21 e incluso >> he >> >> >> >> probado >> >> >> >> >> habilitar el 20 y 21 y tampoco. Es decir, me funciona todo >> >> menos >> >> >> el >> >> >> >> ftp >> >> >> >> >> que conecta bien pero al final de la conexion se queda >> colgado >> >> y >> >> >> no >> >> >> >> >> logra >> >> >> >> >> listarme los directorios. Nada más quitar la politica por >> >> defecto >> >> >> de >> >> >> >> que >> >> >> >> >> todo lo que entra, rechazarlo, funciona el ftp >> correctamente(es >> >> >> decir >> >> >> >> >> que >> >> >> >> >> el ftp funciona bien). Qué puedo estar haciendo mal? >> >> >> >> >> >> >> >> >> >> _______________________________________________ >> >> >> >> >> CentOS-es mailing list >> >> >> >> >> CentOS-es@centos.org >> >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> >> >> >> >> >> >> > _______________________________________________ >> >> >> >> > CentOS-es mailing list >> >> >> >> > CentOS-es@centos.org >> >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es >> >> >> >> > >> >> >> >> >> >> >> >> >> >> >> >> _______________________________________________ >> >> >> >> CentOS-es mailing list >> >> >> >> CentOS-es@centos.org >> >> >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> >> >> >> >> > _______________________________________________ >> >> >> > CentOS-es mailing list >> >> >> > CentOS-es@centos.org >> >> >> > http://lists.centos.org/mailman/listinfo/centos-es >> >> >> > >> >> >> >> >> >> >> >> >> _______________________________________________ >> >> >> CentOS-es mailing list >> >> >> CentOS-es@centos.org >> >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> >> >> > >> >> > >> >> > >> >> > -- >> >> > Rodrigo Julio Pérez >> >> > Ingeniero en Gestión Informática >> >> > >> >> > "Todo el desorden del mundo proviene de las profesiones mal o >> >> > mediocremente >> >> > servidas" Gabriela Mistral >> >> > _______________________________________________ >> >> > CentOS-es mailing list >> >> > CentOS-es@centos.org >> >> > http://lists.centos.org/mailman/listinfo/centos-es >> >> > >> >> >> >> >> >> >> >> GRACIAS!! Era justo lo que me pasaba, muchas gracias. Por cierto, >> estas >> >> lineas que se añaden en algunas configuraciones de iptables para que >> >> sirven??: >> >> >> >> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT >> >> iptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT >> >> >> >> Y si para añadir puertos a servicios utilizo esto: >> >> iptables -A INPUT -p tcp --dport 80 -j ACCEPT >> >> >> >> Porque en algunos lados aparece así?? >> >> iptables -A INPUT -m state --state NEW -p TCP --dport 80 -j ACCEPT >> >> >> >> Gracias por todo, un saludo. >> >> >> >> >> >> _______________________________________________ >> >> CentOS-es mailing list >> >> CentOS-es@centos.org >> >> http://lists.centos.org/mailman/listinfo/centos-es >> >> >> > >> > >> > >> > -- >> > Rodrigo Julio Pérez >> > Ingeniero en Gestión Informática >> > >> > "Todo el desorden del mundo proviene de las profesiones mal o >> > mediocremente >> > servidas" Gabriela Mistral >> > _______________________________________________ >> > CentOS-es mailing list >> > CentOS-es@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-es >> > >> >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > > > > -- > Rodrigo Julio Pérez > Ingeniero en Gestión Informática > > "Todo el desorden del mundo proviene de las profesiones mal o > mediocremente > servidas" Gabriela Mistral > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
