LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Para poder tener un firewall sencillo de mantener y no un conjunto disperso de reglas podemos crear chains reutilizables para agregarlas a diversos puntos del proceso o simplemente para agrupar parte de la lógica del filtrado.
Vamos a suponer un caso simplificado con una única regla: Teniendo un sistema con un conjunto de proxys (puerto 3128) se quiere habilitar el acceso remoto desde unos determinados rangos. Hasta el momento existe la siguiente regla: :
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:squid reject-with tcp-reset Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Lo simple sería agrear a la chain INPUT el listado de rangos permitidos, pero si crecen mucho los rangos o bien se desean abrir otros puertos para los mismos rangos acabaremos teniendo un listado de reglas imposible de tratar. Para evitar esto podemos crear una nueva chain:
# iptables -N EXTERNOS
Mediante iptables -L podremos verla:
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:squid reject-with tcp-reset Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain EXTERNOS (0 references) target prot opt source destination
A continuación añadiremos los rangos o conjuntos de IPs de una forma genérica para luego poder reaprovechar la chain:
# iptables -A EXTERNOS -s 84.88.0.0/24 -j ACCEPT # iptables -A EXTERNOS -s 213.55.111.66/32 -j ACCEPT
Como regla final añadiremos un REJECT con un tcp-reset para evitar que aparezca como filtered con nmap y el resto un DROP:
# iptables -A EXTERNOS -p tcp -j REJECT --reject-with tcp-reset # iptables -A EXTERNOS -j DROP
A continuación eliminaremos la regla genérica de REJECT que teníamos definida al principio:
# iptables -D INPUT -i eth0+ -p tcp -m tcp --dport 3128 -j REJECT --reject-with tcp-reset
Y añadiremos el acceso a la chain especificando el tráfico que queremos filtrar:
# iptables -A INPUT -i eth0+ -p tcp -m tcp --dport 3128 -j EXTERNOS
Con esto ya tendremos la regla substituida por un acceso filtrado según la chain:
# iptables -L -nv Chain INPUT (policy ACCEPT 363M packets, 86G bytes) pkts bytes target prot opt in out source destination 10 440 EXTERNOS tcp -- eth0+ * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 529M packets, 671G bytes) pkts bytes target prot opt in out source destination Chain EXTERNOS (1 references) pkts bytes target prot opt in out source destination 8 336 ACCEPT all -- * * 84.88.0.0/24 0.0.0.0/0 0 0 ACCEPT all -- * * 213.55.111.66 0.0.0.0/0 2 104 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Una vez comprobada la nueva configuración podremos guardarla permanentemente mediante un iptables save:
# /etc/init.d/iptables save Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
En el caso tanto de querer dar acceso a los mismos clientes por otros puertos sólo se debería añadir una regla para el puerto en concreto, de la misma manera si se quiere añadir una nueva red sólo se deberá modificar la chain independientemente del número de puertos.
Vía: systemadmin

-
Seguridad
- Snort para Windows, detección de Intrusos y seguridad.
- 22 herramientas de seguridad de servidores Linux de código abierto en 2023
- 8 hábitos que deben tomar los teletrabajadores altamente seguros
- 7 cosas que incluso los nuevos usuarios de Linux pueden hacer para proteger mejor el sistema operativo
- Recuperar contraseñas de archivos comprimidos en 3 pasos
- Administración: Glances - herramienta de monitoreo y supervisión para Linux
- Cómo monitorear sistemas Linux remotos con Glances
- Los 5 mejores VPN del momento
- Cómo bloquear ataques de fuerza bruta SSH usando SSHGUARD en Linux
- Cómo purgar y limpiar tus discos y borrar archivos en forma segura
- Generar password aletorios en Linux
- LinuxParty 6 meses, estadísticas y crecimiento.
- 10 cortafuegos de seguridad de código abierto útiles para sistemas Linux
- Instalar Mod_Security y Mod_evasive para protegerse contra ataques de fuerza bruta o DDoS
- Malware relacionado con ChatGPT en aumento, dice Meta