[LUG.ro] Puertos y Squid

Alfredo Rezinovsky lugro@lugro.org.ar
Wed, 10 Sep 2003 10:20:29 -0300


>  Un ejemplo de como cerrar los puertos a internet:
>
>   iptables -P INPUT DROP
>   iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>   iptables -A INPUT -m state --state NEW -i ! interfaz_de_internet -j
ACCEPT

Un consejo.

La policies siempre deberian ir en ACCEPT y como ultima regla un DROP o
REJECT.

iptables -P INPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! interfaz_de_internet -j ACCEPT
iptables -A INPUT -j DROP

¿Estas loco o sos tonto?
¡Eso seria una irresponsabilidad!
¿Por que hacés eso?

Paso a explicar, dos puntos.

1. En muchos casos podriamos querer poner un REJECT y por policy se puede
dropear pero no rechazar.
2. Tener como ultima regla un drop nos permite poner como penultima un "-m
state - J LOG" y saber que intentos conexión estamos dropeando cuando algun
protocolo no nos funciona y no sabemos que puertos usa.
3. (Y más importante) Si hacemos administración remota y tenemos como
policy: DROP. corremos el riesgo de que un flusheo de las tablas deje al
equipo aislado. Yo soy de Mendoza y administro algunos equipos en Bs.As.,
Poner como policy ACCEPT me ha ahorrado muchas veces quedar como un tarado
teniendo que llamar por telefono para que me abran el firewall o me
reinicien el equipo, en el mejor de los casos, o tener que hacer 1000 Km
para solucionar el moco personalmente. Tenerlas como DROP, en cambio, me han
significado tener que dejar todo lo que estaba haciendo y salir volando a 30
Km (por suerte ese server estaba más cerca) a solucionar el problema.

--
Alfrenovsky