PARANOIDE no quien dice jajajjaa
El 09/11/15 a las 10:54, Hugo Florentino escribió:
On Sat, 7 Nov 2015 23:03:44 -0500, Amaury Viera Hernández wrote:
iptables -A INPUT -s 192.168.56.0/24 -i eth1 -p tcp --dport 22 -j
ACCEPT
Yo adicionalmente limitaría el estado a las conexiones nuevas y si te
conectas siempre desde un mismo equipo anclaria la regla a su mac.
Me puede poner un ejemplo de esa regla que menciona???
Muchas gracias por la recomendación
Bueno aqui tienes como lo haria yo, puede que parezca un poco
paranoide pero...
iptables -A INPUT -i eth1 -s 192.168.56.5 -m mac --mac-source
A0:B1:C2:D3:E4:F5 \
-p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit
--hashlimit-upto 3/minute \
--hashlimit-name limit_ssh1 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.56.6 -m mac --mac-source
A1:B2:C3:D4:E5:F6 \
-p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit
--hashlimit-upto 3/minute \
--hashlimit-name limit_ssh2 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state
ESTABLISHED \
-m connlimit --connlimit-upto 3 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
No entiendo el propósito de habilitar este enmascaramiento si no vas a
acceder a tu WAN desde tu LAN.
Sí, en ese script hay un ejemplo, de como acceder por el puerto 80
desde la wan hacia un servidor dentroo de la LAN
De acuerdo pero yo no te hablaba de tu DNAT, te hablaba de tu
MASQUERADE (a los efectos práctivos equevalente a un SNAT), que lo
declaras pero no lo usas.
Yo agregaría algunas reglas de trazas, mediante los destinos ULOG o
NFLOG, depende del sistema.
Puede ser un poco más específico, lo que he visto de logs en
iptables, me loguea demasiadas cosas, puede indicarme sobre esto, que
es lo más correcto (Utilizo Ubuntu server 14.04)
Bueno busca a ver si ese Ubuntu trae el paquete ulogd o ulogd2, y en
dependencia de cada uno puede definir tu mismo las trazas que se
generan, por ejemplo, para ulogd:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j
ULOG --ulog-prefix IN_SSH
o para ulogd2:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j
NFLOG --nflog-prefix IN_SSH
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
