[LUG.ro] Puertos y Squid
Alfredo Rezinovsky
lugro@lugro.org.ar
Wed, 10 Sep 2003 10:20:29 -0300
> Un ejemplo de como cerrar los puertos a internet:
>
> iptables -P INPUT DROP
> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
> iptables -A INPUT -m state --state NEW -i ! interfaz_de_internet -j
ACCEPT
Un consejo.
La policies siempre deberian ir en ACCEPT y como ultima regla un DROP o
REJECT.
iptables -P INPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! interfaz_de_internet -j ACCEPT
iptables -A INPUT -j DROP
¿Estas loco o sos tonto?
¡Eso seria una irresponsabilidad!
¿Por que hacés eso?
Paso a explicar, dos puntos.
1. En muchos casos podriamos querer poner un REJECT y por policy se puede
dropear pero no rechazar.
2. Tener como ultima regla un drop nos permite poner como penultima un "-m
state - J LOG" y saber que intentos conexión estamos dropeando cuando algun
protocolo no nos funciona y no sabemos que puertos usa.
3. (Y más importante) Si hacemos administración remota y tenemos como
policy: DROP. corremos el riesgo de que un flusheo de las tablas deje al
equipo aislado. Yo soy de Mendoza y administro algunos equipos en Bs.As.,
Poner como policy ACCEPT me ha ahorrado muchas veces quedar como un tarado
teniendo que llamar por telefono para que me abran el firewall o me
reinicien el equipo, en el mejor de los casos, o tener que hacer 1000 Km
para solucionar el moco personalmente. Tenerlas como DROP, en cambio, me han
significado tener que dejar todo lo que estaba haciendo y salir volando a 30
Km (por suerte ese server estaba más cerca) a solucionar el problema.
--
Alfrenovsky