Re: [Gutl-l] [MASSMAIL] Re: Observar y Criticar Script de firewall para reenvío de puertos

Mon, 09 Nov 2015 08:29:36 -0800 

On Sat, 7 Nov 2015 23:03:44 -0500, Amaury Viera Hernández wrote:



iptables -A INPUT -s 192.168.56.0/24 -i eth1 -p tcp --dport 22 -j 
ACCEPT



Yo adicionalmente limitaría el estado a las conexiones nuevas y si 
te

conectas siempre desde un mismo equipo anclaria la regla a su mac.



Me puede poner un ejemplo de esa regla que menciona???
Muchas gracias por la recomendación



Bueno aqui tienes como lo haria yo, puede que parezca un poco paranoide 
pero...



iptables -A INPUT -i eth1 -s 192.168.56.5 -m mac --mac-source 
A0:B1:C2:D3:E4:F5 \
-p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit 
--hashlimit-upto 3/minute \

--hashlimit-name limit_ssh1 -j ACCEPT


iptables -A INPUT -i eth1 -s 192.168.56.6 -m mac --mac-source 
A1:B2:C3:D4:E5:F6 \
-p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit 
--hashlimit-upto 3/minute \

--hashlimit-name limit_ssh2 -j ACCEPT


iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state 
ESTABLISHED \

-m connlimit --connlimit-upto 3 -j ACCEPT



iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


No entiendo el propósito de habilitar este enmascaramiento si no vas 
a

acceder a tu WAN desde tu LAN.



Sí, en ese script hay un ejemplo, de como acceder por el puerto 80
desde la wan hacia un servidor dentroo de la LAN



De acuerdo pero yo no te hablaba de tu DNAT, te hablaba de tu 
MASQUERADE (a los efectos práctivos equevalente a un SNAT), que lo 
declaras pero no lo usas.




Yo agregaría algunas reglas de trazas, mediante los destinos ULOG o
NFLOG, depende del sistema.



Puede ser un poco más específico, lo que he visto de logs en
iptables, me loguea demasiadas cosas, puede indicarme sobre esto, que
es lo más correcto (Utilizo Ubuntu server 14.04)




Bueno busca a ver si ese Ubuntu trae el paquete ulogd o ulogd2, y en 
dependencia de cada uno puede definir tu mismo las trazas que se 
generan, por ejemplo, para ulogd:



iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ULOG 
--ulog-prefix IN_SSH


o para ulogd2:


iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j 
NFLOG --nflog-prefix IN_SSH




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l






















					Responder a