iptables

Alberto Rivera albertux en linuxchillan.cl
Jue Ene 27 17:28:05 CLST 2005


El jue, 27-01-2005 a las 12:45, Juan Martínez escribió:
> El jue, 27-01-2005 a las 08:34 -0300, Alberto Rivera escribió:
> > El mié, 26-01-2005 a las 21:39, Felipe Covarrubias escribió:
> > > On Wed, 26 Jan 2005 16:15:05 -0300, Juan Martínez <jeugenio en cide.cl> wrote:
> > > > El mié, 26-01-2005 a las 15:27 -0300, Alberto Rivera escribió:
> > > > > Una consultilla..... resulta que estoy haciendo masquerade para una
> > > > > subred dentro de una empresa, con el
> > > > 
> > > > Mala idea...
> > > > 
> > > Hmm.. Sorry pero por que ?
> > 
> > Explicate porqué es mala idea ...
> 
> Como dije antes, se expone a la red interna. Para estos fines se usa un
> DMZ. Basta que agregues una tarjeta de red al firewall y listo...
> 
Pero yo tengo la dos interfaces eth0 en LAN y eth1 en ppp0

> > > > > Ahora la pregunta ¿Cómo puedo cerrar solamente los
> > > > > puertos que están siendo utilizados desde el exterior utilizando
> > > > > iptables?
> > > > 
> > > > Mejor solo acepta lo que necesitas. Pero con una regla de la cadena
> > > > forward dices que si el origen es de internet y el destino tu red
> > > > interna por los puertos X protocolos udp/tcp, entonces DROP o REJECT.
> > 
> > El problema de aceptar lo que se requiere en una empresa con 50 máquinas
> > no es fácil ya que existen muchos usuarios que ingresan a sitios
> > determinados por ejemplo de proveedores de servicios o bien de productos
> > los cuales tienen sus propios métodos de ingreso.
> 
> Lo que tienes que hacer es dar salida libre y restringir la entrada. Se
> supone que tienes que aceptar las conexiones de vuelta (las establecidas
> y las en espera entrantes). Pero de todas formas es preferible que los
> 50 usuarios te den sus requerimientos para hacer las reglas de firewall,
> sino no tiene sentido este.
> 
Estamos claros pero como se puede hacer para autorizar las salidas
completas y aceptar las conexiones de vuelta ??? como lo mencionaste,
estamos claros como hacer que salga todo pero como se debe hacer para el
ingreso??? uno por uno????

> > > > > adicionalmente ¿existirá la posibilidad de filtrar
> > > > > correos o algo por el estilo desde el mismo iptables?
> > > > 
> > > > Se puede, pero iptables no es para eso. Es mas eficiente usar un
> > > > antispam o un antivirus (spamassasing y clamav por ejemplo).
> > 
> > en el caso del clamav o algún otro antivirus es necesario tener el
> > servidor de correo instalado físicamente en la empresa o se puede
> > utilizar también el correo externo?, lo que se hace en esa empresa en
> > particular, es que se tiene el servidor para compartir una línea
> > monousuario con las 50 máquinas a través de squid, y adicionalmente el
> > correo sale y entra de forma transparente a tres servidores de correo
> > entre ellos el de telefonica y entel donde se tienen mail hostings,
> > aparte el de la empresa en cuestión.
> 
> Solicita a estas empresas el filtrado. Sino instala un proxy (postfix
> puede ayudarte en esto) de correo, y ahi puedes filtrar con clamav y
> spamassassing
> 
Tengo funcionando el squid pero no el postfix de hecho no sé como
hacerlo así que voy a echar un vistazo por ahí, a las empresas se les ha
pedido en reiteradas oportunidades que den estos servicios pero nada...

> > > > PD: desinfecta a los Hasefroch... 
> > 
> > Esa cosa (porque no se le puede decir más) esta desinfectada pero de
> > todas formas algo tiene que software como el ad-aware y antivirus varios
> > no encuentran nada, por ej. es el caso de la conexión Hasefroch-ds que
> > aparece a cada rato dentro de los monitores al exterior... y estas
> > direcciones son las que quiero filtrar específicamente
> 
> Con lo cual no vas a eliminar el tráfico basura en la red interna. No me
> quiero meter en temas que no son de esta lista, pero debes revisar el
> registro de Hasefroch para ver que se te esta cargando en el inicio o en
> algún momento de uso del sistema que hace estas conexiones.
> 
Lo tengo claro pero en realidad dentro de la red interna curiosamente el
tráfico de basura es menor que el que sale, de hecho es bastante
controlable con software super básicos así que ese no es el problema.

> Saludos

Igual para tí salu2  ;)

-- 
   Alberto Rivera Muñoz
User #353961 counter.li.org





Más información sobre la lista de distribución Linux