iptables

Juan Martínez jeugenio en cide.cl
Jue Ene 27 12:45:41 CLST 2005


El jue, 27-01-2005 a las 08:34 -0300, Alberto Rivera escribió:
> El mié, 26-01-2005 a las 21:39, Felipe Covarrubias escribió:
> > On Wed, 26 Jan 2005 16:15:05 -0300, Juan Martínez <jeugenio en cide.cl> wrote:
> > > El mié, 26-01-2005 a las 15:27 -0300, Alberto Rivera escribió:
> > > > Una consultilla..... resulta que estoy haciendo masquerade para una
> > > > subred dentro de una empresa, con el
> > > 
> > > Mala idea...
> > > 
> > Hmm.. Sorry pero por que ?
> 
> Explicate porqué es mala idea ...

Como dije antes, se expone a la red interna. Para estos fines se usa un
DMZ. Basta que agregues una tarjeta de red al firewall y listo...

> > > > Ahora la pregunta ¿Cómo puedo cerrar solamente los
> > > > puertos que están siendo utilizados desde el exterior utilizando
> > > > iptables?
> > > 
> > > Mejor solo acepta lo que necesitas. Pero con una regla de la cadena
> > > forward dices que si el origen es de internet y el destino tu red
> > > interna por los puertos X protocolos udp/tcp, entonces DROP o REJECT.
> 
> El problema de aceptar lo que se requiere en una empresa con 50 máquinas
> no es fácil ya que existen muchos usuarios que ingresan a sitios
> determinados por ejemplo de proveedores de servicios o bien de productos
> los cuales tienen sus propios métodos de ingreso.

Lo que tienes que hacer es dar salida libre y restringir la entrada. Se
supone que tienes que aceptar las conexiones de vuelta (las establecidas
y las en espera entrantes). Pero de todas formas es preferible que los
50 usuarios te den sus requerimientos para hacer las reglas de firewall,
sino no tiene sentido este.

> > > > adicionalmente ¿existirá la posibilidad de filtrar
> > > > correos o algo por el estilo desde el mismo iptables?
> > > 
> > > Se puede, pero iptables no es para eso. Es mas eficiente usar un
> > > antispam o un antivirus (spamassasing y clamav por ejemplo).
> 
> en el caso del clamav o algún otro antivirus es necesario tener el
> servidor de correo instalado físicamente en la empresa o se puede
> utilizar también el correo externo?, lo que se hace en esa empresa en
> particular, es que se tiene el servidor para compartir una línea
> monousuario con las 50 máquinas a través de squid, y adicionalmente el
> correo sale y entra de forma transparente a tres servidores de correo
> entre ellos el de telefonica y entel donde se tienen mail hostings,
> aparte el de la empresa en cuestión.

Solicita a estas empresas el filtrado. Sino instala un proxy (postfix
puede ayudarte en esto) de correo, y ahi puedes filtrar con clamav y
spamassassing

> > > PD: desinfecta a los Hasefroch... 
> 
> Esa cosa (porque no se le puede decir más) esta desinfectada pero de
> todas formas algo tiene que software como el ad-aware y antivirus varios
> no encuentran nada, por ej. es el caso de la conexión Hasefroch-ds que
> aparece a cada rato dentro de los monitores al exterior... y estas
> direcciones son las que quiero filtrar específicamente

Con lo cual no vas a eliminar el tráfico basura en la red interna. No me
quiero meter en temas que no son de esta lista, pero debes revisar el
registro de Hasefroch para ver que se te esta cargando en el inicio o en
algun momento de uso del sistema que hace estas conexiones.

Saludos
-- 
  _____
 /  __ \
/  /  \ \
\  \ _/ /
 \  \__/
  \          Juan Martínez
   \         jeugenio en cide.cl
    \        Nº de usuario Linux: 375857 - http://counter.li.org/




Más información sobre la lista de distribución Linux