separar subredes usando iptables

Horst von Brand vonbrand en inf.utfsm.cl
Mie Oct 26 17:48:19 CLST 2005 

Juan Carlos Muñoz Ilabaca <jcmunoz en dcc.uchile.cl> wrote:
> Disque el Miércoles, 26 de Octubre de 2005 13:02, Jens Hardings escribiosese:
> > luisviveropenna en cdsl.cl wrote:
> > >>Miguel Angel Amador L <jokercl en gmail.com> wrote:
> > >>
> > >>[...]
> > >>
> > >>>MMMMmmm....
> > >>> Iptables ?
> > >>># Regla por defecto para forward
> > >>>iptables -P FORWARD DROP
> > >>
> > >>NOOOO!!! REJECT, /nunca/ DROP!
> > >
> > >Y eso seria por...? (o sea, que avise, ok, pero cual es la ganancia?)

> > Porque si intenta conectarse pero "no pasa nada" al perderse los paquetes:
> > 1. reintentará durante varios minutos
> > 2. buscará ayuda técnica para resolver el problema
> > 3. se perderán muchas HH buscando el problema, para finalmente
> > encontrarse que era un tema de políticas de las cuales ya todos se
> > habían olvidado

Exacto.

> > En caso de avisar, el ususario recibirá un aviso instantáneamente que
> > falló la conexión, y al revisar en mayor profundidad será obvio el
> > problema. No es posible confundir eso con "problemas en la red".

> Pero eso sería solo para el caso del FW, porque para el exterior, es
> mejor que no diga nada... así los scanners no sabrán que esta abierto y
> que tiene problemas.

Como si los gusanos se van a tomar la molestia de revisar si el port esta
abierto antes de tirarse... y si esta cerrado, que importa decir
cortesmente que esta cerrado en vez de no decir nada?

Insisto, como medida de seguridad DROP no aporta /nada/, y es /activamente/
contraproducente para usuarios legitimos.

Igualito que la medida de "seguridad" de pichicatear los servidores para
que no se delaten por el banner. Seguridad es nula (nmap es mas que capaz
de descubrir igual de que se trata; y si es por eso, los atacantes suelen
tirarse "por si pasa" en vez de complicarse la existencia de antemano; si
no me creen, vean sus logs para miles de intentos fallidos de conexion via
SSH con cuentas y password al azar). Se ven perjudicados unicamente quienes
necesitan legitimamente saber de que se trata (porque el %*#@& MTA no
acepta mis correos? que opciones maneja? tal vez es alguna de las &%$
versiones aturdidas que...?).

"Security through obscurity" isn't.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux