iptables

Miguel Amador L jokercl en gmail.com
Mie Ene 26 16:13:05 CLST 2005 

On Wed, 26 Jan 2005 15:27:38 -0300, Alberto Rivera
<albertux en linuxchillan.cl> wrote:
> Una consultilla..... resulta que estoy haciendo masquerade para una
> subred dentro de una empresa, con el
> 
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> 
> para que toda la subred pueda salir o recibir directamente por medio de
> la línea, pero en estos días encontré que habían algunos equipos que me
> mandaban hacia el exterior información por el puerto 445 y 138 y otros
> que en realidad no me acuerdo, pero son varios, por lo que supongo que
> esas máquinas deben tener algún tipo de virus o troyano que se conecta
> por esos puerto. Ahora la pregunta ¿Cómo puedo cerrar solamente los
> puertos que están siendo utilizados desde el exterior utilizando
> iptables?

DROP por defecto a FORWARD
y a cada conexion saliente que quieres dar le agregas la regla de
forward ACCEPT, como siguen

i.e:
Para el trafico entrante:
#solo las que no traen el flag de syn activado
iptables -t filter -A FORWARD -p tcp -i ppp0 -o eth0 ! --syn -j ACCEPT
(o
#conexiones conocidas o relacionadas con las salientes, 
#pueden dejarse entrar.
iptables -t filter -A FORWARD -p tcp -i ppp0 -o eth0 -m state --state
RELATED,ESTABLISHED -j ACCEPT )

trafico saliente:
#todo lo que vaya al puerto 80 
iptables -t filter -A FORWARD -p tcp -o ppp0 -i eth0 -s 192.168.0.10
-d www.google.cl --dport 80 -j ACCEPT #restringes dst-port y destino
de la conexion saliente que autorizas.
Algo similar a eso deberia servirte.

Lee documentacion para que entiendas los flags del comando o los how
to de netfilter.samba.org



> ah ...... adicionalmente ¿existirá la posibilidad de filtrar
> correos o algo por el estilo desde el mismo iptables?

Filtro de correo, no, eso no se puede y no es recomendable... ahora si
quieres puedes poner un MTA y hacer algunas reglas en el firewall para
redirijir trafico de correo, y que con el MTA hacer filtro de
contenido. sobre el trafico de correo (pero cambiarian los headers..y
otros datos) , y despues los despache. (como lo que hacen los
smtp-proxy comerciales o algunos antivirus de correo)
Saludos
 Miguel Amador L.

> salu2
> 
> --
>    Alberto Rivera Muñoz
> User #353961 counter.li.org

Más información sobre la lista de distribución Linux