iptables, una aproximació a un cas real

L'objectiu d'aquest tutorial és controlar la nostra xarxa, Evitant molèsties per part algun que altre "hoste indesitjable" que des de dins ens vulgui xerrac el pis (expressió cubana que significa molestar, collons, etc.), virus "paqueteador", atacs externs o simplement pel plaer de saber que podem dormir tranquils .

Nota: Recordar les polítiques d'iptables, ACCEPTAR tot o DENEGAR tot, poden ser-nos útils, en alguns casos i en altres no, això depèn de nosaltres, que tot el que succeeixi a la xarxa, és qüestió nostra, i només nostra, sí, teva , meva, d'aquell que va llegir el tutorial, però que no sap executar-lo, o de què el va llegir i el va aplicar massa bé.

Per casa que et quedes !!!

El primer és saber, quin port ocupa cada servei en un ordinador amb GNU / Linux instal·lat, per això, no cal preguntar-li a ningú, ni embolicar-se buscant a Google o consultant algun erudit en la matèria, només llegir un archivito. Un archivito? Doncs sí, una archivito.

/ Etc / services

Però, què conté / Etc / services?

Molt fàcil, la descripció de tots els serveis i ports existents per a aquests serveis ja sigui per TCP o UDP, de forma organitzada i ascendent. Aquests serveis i ports han estat declarats per la IANA (Internet Assigned Numbers Authority).

Jugant amb iptables

Com a primers passos, tindrem un PC, que serà la màquina de proves, llámenla com desitgin, Lucy, Karla o Naomi, jo l'anomenaré Bessie.

Situació:

Bé, bé, Bessie és una màquina de projectes que va a tenir un vsftpd muntat, OpenSSH corrent, i un Apache2 que es va instal·lar un cop per fer benchmarking (prova de rendiment), Però que ara només s'usa al costat de phpMyAdmin per administrar les bases de dades de MySQL que s'usen internament en algun que altre moment.

Notes a prendre:

Ftp, ssh, apache2 i mysql, són els serveis que estan rebent peticions en aquesta PC, de manera que hem de tenir en compte els ports que ells fan servir.

Si no m'equivoco i / Etc / services no diu mentides xD, ftp fa servir el port 20 i 21, ssh per defecte el 22 o algun altre, si se li ha definit en la configuració (en algun altre post parlaré de com configurar SSH una mica més del que normalment se li coneix), Apache el 80 o el 443 si és amb SSL, i MySQL el 3306.

Ara necessitem un altre detall, les adreces IP de les PCs que van a interactuar amb Bessie, perquè els nostres bombers, entre ells, no es trepitgin les mànegues (vol dir que no hi hagi conflicte jaja).

Pep, el de desenvolupament en PHP + MySQL, només tindrà accés als ports 20-21, 80, 443 i 3306, Frank que el seu és actualitzar la pàgina web de el projecte a lliurar aquí a un mes, només tindrà accés a l'port 80 / 443 i 3306 per si necessita fer alguna esmena a la DB, i jo tindré accés a tots els recursos al server (i desitjo protegir el logueo amb ssh per IP i MAC). El ping hem activar-per si volem enquestar la màquina en algun moment. La nostra xarxa és classe C de l'tipus 10.8.0.0/16.

Iniciarem un arxiu de text pla anomenat firewall.sh en el qual contindrà el següent:

Paste No.4446 (Script iptables)

I així, amb aquestes línies, permets l'accés als membres de l'DevTeam, et protegeixes, i protegeixes la PC, crec que millor explicat, ni en somnis. Només queda donar-li permisos d'execució, i tot estarà a punt per funcionar.

Ha, eines que mitjançant una bonica interfície gràfica, els permeten als usuaris novells, configurar el tallafocs de les seves PCs, com per exemple "BadTuxWall", requereix Java. També el fwbuilder, QT, de el qual ja es va parlar aquí o el "Firewall-Jay", amb interfície en ncurses. Jo, en la meva opinió personal, m'agrada fer-ho en text pla, així m'obligo a aprendre.

Això és tot, ens veiem properament per continuar explicant, la pelussa de la contrapelusa, d'alguna que una altra configuració, procés o servei.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa http://secbcaixabank.info/SECB-COVIDXNUMX-DENUNCIA-INSPECCION-PROTOCOLO-.pdf.

6 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   rodolfo alejandro va dir

    genial espero amb ànsies el de ssh salutacions, bons post, salutacions.

  2.   Faustod va dir

    Això m'agrada, ja prepari meus interrogants ...

  3.   nwt_lazaro va dir

    # Permetre l'Entrada a l'adreça IP 192.168.0.15 amb adreça física 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac -Mac-source 00: 01: 02: 03: 04: 05 -p tcp -dport 22 -m state -state NEW -j ACCEPT

    Si voleu afegir més adreces IP i mac, serà qüestió d'inserir una altra cadena INPUT variant la direcció IP i mac respectivament.

  4.   nwt_lazaro va dir

    Edito: ja que WordPress no es porta bé amb els guions dobles, les següents parts de la comanda portaven guions dobles
    - - mac-source 00:01 ...
    - - dport 22 ...
    - - state NEW ...

    1.    KZKG ^ Gaara va dir

      Si vols pots fer servir les etiquetes «code» aquí poses el codi «/ code» i et funionará perfectament els dos guions 😉
      Òbviament canviant els «i» per símbols de menor-què i major-què

  5.   @Jlcmux va dir

    Pregunta. Quan un instal un servidor, sigui ssh o apatxe o el que sigui. El port no s'obre sol? Quina és la diferència de deixar-ho així o obrir-lo d'aquesta manera?