[LUG.ro] IPTABLES
Alberto Cushnir (SVHOST)
lugro@lugro.org.ar
Tue, 09 Nov 2004 09:05:05 -0300
ArinoO@bancobsf.com.ar escribió:
>Ahora, me saltó otro problema. Resulta que estóy en mascarando el puerto
>para HTTP, HTTPS y FTP, el inconveniente me surgue cuando se intenta hacer
>una conección FTP a travez de un cliente FTP y no del navegador web. Por lo
>que estuve viendo el cliente se conecta al servidor FTP y envia el usuario y
>la contraseña, pero despues devuelve un error '500 puerto desconocido'. El
>problema lo está generando en las máquinas que están detras del firewall.
>Investigando más veo que una vez que hace la conección los clientes abren un
>puerto distinto al 21, como por ejemplo el 3800.
>Estas son las reglas de FORWARD que estoy utilizando, como politica DROP,
>permito salir todo desde la red interna a la red externa y permito entrar
>todo los paquetes que pertenecen a una conección existente (STABLISHED,
>RELATED).
>¿Que me puede estár fallando?
>Gracias.
>
>Omar
>
>-----Mensaje original-----
>De: Ramiro Caire [mailto:r.caire@coopvgg.com.ar]
>Enviado el: Miércoles 3 de Noviembre de 2004 09:21
>Para: lugro@lugro.org.ar
>Asunto: Re: [LUG.ro] IPTABLES
>
>
>Esta bien lo que hace. Es un firewall con politica por defecto DROP y es lo
>mas recomendado para implementar firewalls.
>Solo que le pifió a los puertos como ya le indicaron.
>
>Saludos
>Ramiro
>
>----- Original Message -----
>From: <ariel@cisb.com.ar>
>To: <lugro@lugro.org.ar>
>Sent: Tuesday, November 02, 2004 6:05 PM
>Subject: Re: [LUG.ro] IPTABLES
>
>
>
>
>>Las cadenas (según tengo entendido) se ejecutan de arriba hacia abajo,
>>entonces dropeas y no dejas pasar a nada.
>>Deberias aceptar determinado puertos y luego dropear.
>>Suerte.
>>
>>Ariel Aichino
>>
>>--- ArinoO@bancobsf.com.ar escribió:
>>
>>
>>>Hola amigos, tengo un problema con un firewall. Resulta que tengo una
>>>máquina que hace la conección a internet para una red interna y ademá> s
>>>provee varios servicios, como DHCP, SAMBA, POP3 Y SMTP. El tema es que
>>>quiero evitar un ataque externo y por consiguiente puse como acción por
>>>defecto DROP. El problema se presenta en la interfaz eth1 que es la que
>>>conecta al servidor con la red interna. La configuración de esta es la
>>>siguiente:
>>>iptables -P INPUT DROP
>>>iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 567
>>>iptables -A INPUT -j ACCEPT -i eth1 -p udp --dport 567
>>>iptables -A INPUT -j ACCEPT -i eth1 -p all -s 192.168.0.0/24
>>>
>>>Lo que quice hacer es permitir el acceso al servidor DHCP y una vez que
>>>obtuvieran su dirección IP se conecten a los restantes servicios. Mas q>
>>>
>>>
>ue
>
>
>>>nada es por que en el servidor DHCP hay maquinas a las que le asigno la
>>>
>>>
>I>
>
>
>>P a
>>
>>
>>>travez de la dirección MAC y a esas quiero asignarle en un futuro acces>
>>>
>>>
>os
>
>
>>a
>>
>>
>>>servicios diferenciados del resto.
>>>Si alguien me puede dar una mano, le agradecería mucho.
>>>
>>>Omar.
>>>
>>>
>>>
>>>_______________________________________________
>>>Lugro mailing list
>>>Lugro@lugro.org.ar
>>>http://www.lugro.org.ar/mailman/listinfo/lugro
>>>
>>>
>>>
>>_______________________________________________
>>Lugro mailing list
>>Lugro@lugro.org.ar
>>http://www.lugro.org.ar/mailman/listinfo/lugro
>>
>>
>>
>
>_______________________________________________
>Lugro mailing list
>Lugro@lugro.org.ar
>http://www.lugro.org.ar/mailman/listinfo/lugro
>
>_______________________________________________
>Lugro mailing list
>Lugro@lugro.org.ar
>http://www.lugro.org.ar/mailman/listinfo/lugro
>
>
Omar:
Seguramente debieras abrir el puerto 20 tambien, ya que durante la
conexion del FTP, si no estoy equivocado, el puerto 21 se utiliza para
la validacion de la conexion y una vez validada la transmision de datos
se realiza por el puerto 20
Espero que te sirva.
Saludos