LinuxParty

Ejemplo de configuración de IPTables. (Cortafuegos para Linux)

#!/bin/sh
## SCRIPT de IPTABLES - ejemplo del manual de iptables
## Ejemplo de script para firewall entre red-local e internet
##
## Web LinuxParty: https://www.linuxparty.es/

echo -n "Aplicando Reglas de Firewall... "

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos política por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

# Cerramos el rango de puerto bien conocido
# Para logear, bastará quitar el coment "#"
# iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j LOG --log-level info
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
# iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j LOG --log-level info
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP

# Y el resto, lo cerramos
# Para logear, bastará también quitar "#"
# iptables -A INPUT -p tcp --dport 20:21 -j LOG --log-prefix "UDP: " --log-level info
iptables -A INPUT -p tcp --dport 20:21 -j DROP
# iptables -A INPUT -p tcp --dport 3306 -j LOG --log-prefix "MYSQL: " --log-level info
iptables -A INPUT -p tcp --dport 3306 -j DROP
# iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH: " --log-level info
iptables -A INPUT -p tcp --dport 22 -j DROP
# iptables -A INPUT -p tcp --dport 10000 -j LOG --log-prefix "WEBMIN: " --log-level info
iptables -A INPUT -p tcp --dport 10000 -j DROP
echo " OK "
echo ". Verifique que lo que se aplica con: iptables -L -n"


# Fin del script
# ------------------------------------------------------
# Para llamar al script, editamos el fichero /etc/rc.d/rc.local 
# y lo dejamos como aparece a continuación, en el mismo se hace una 
# llamada a /etc/rc.d/cortafuegos.sh, que es nuestro script.
# ------------------------------------------------------

---

Este es el fichero:  /etc/rc.d/rc.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

##########################################
##### JAVIER CONFIGURACION ###########
##########################################
/usr/local/bin/echoc /4 "Arrancamos nuestro cortafuegos... de /etc/rc.d/cortafuegos.sh"
/etc/rc.d/cortafuegos.sh
/usr/sbin/pppd &
tail -f /var/log/messages > /dev/tty9 &

tail -f /var/log/mi-log > /dev/tty10 &
# Mensaje a pantalla
/usr/local/bin/echoc "* Si enciende el módem, generaremos la demanda para conectarnos a internet. *"
/usr/local/bin/echoc " ¡¡¡ Cuidado ( de no encender ), si no es la hora de conexión apropiada !!!"
/bin/sleep 5
# Mensaje al log ( /var/log/messages )
/bin/echo "* Si enciende el módem, generaremos la demanda para conectarnos a internet. *" >> /var/log/messages &
/bin/echo " ¡¡¡ Cuidado ( de no encender ), si no es la hora de conexión apropiada !!!" >> /var/log/messages &
/bin/ping www.terra.es &
/usr/bin/playwave /etc/rc.d/UhhhYeah.wav >> /var/log/messages &
/sbin/ifconfig eth0:1 192.168.1.16
/sbin/ifconfig eth0:2 192.168.1.17
/sbin/ifconfig eth0:3 192.168.1.18
/sbin/ifconfig eth0:4 192.168.1.19
/sbin/ifconfig eth0:5 192.168.1.14

Algunos programas, como echoc (que resalta en color) ha sido extraído de TutorialLinux

RedHat se enumera entre las mejores 50 compañías del 2006 según tech de ZDNet Asia. Es también una de las compañías con mayor crecimiento de sus ventas, un 210,4% en los últimos 4 años. Mientras que casi todas las compañías de Linux atacan con la cuestión perenne de cómo pueden hacer el dinero con suscripciones y servicios más bien que la venta del software de las cajas empaquetadas, RedHat finalmente está preparado para mejorar la credibilidad y demostrar la manera de hacer negocio con Linux. Así se hace.

el phpPgAdmin es un paquete PHP-basado completamente funcional de la administración para PostgreSQL. Tiene toda la funcionalidad básica que usted necesita administrar totalmente un servidor y/o una base de datos de PosgreSQL, incluyendo la capacidad de administrar opiniónes, secuencias, procedimientos almacenados, y disparadores. Las características incluyen la capacidad de crear y de caer bases de datos; cree, copie, caiga, y altere tables/views/sequences/functions/triggers; corrija y agregue los campos (al grado Postgres permite); ejecute cualquier SQL-declaracio'n, incluso hornada-la pregunta; maneje las llaves en campos; cree y lea las descargas de la base de datos y de las tablas; y administre una sola base de datos, los servidores múltiples, y Postgres users/groups. Foco del lanzamiento: Realces importantes de la característica

https://freshmeat.net/projects/phppgadmin/?branch_id=8025&release_id=212044

https://freshmeat.net/projects/phpmyadmin/

La cryptografía fué sacudida desde sus raíces el año pasado con el aviso de un nuevo algoritmo para encontrar colisiones en el algoritmo ampliamente utilizado MD5. A pesar de trabajo y comentario considerables desde entonces, no se ha publicado ningún código de fuente para encontrar tales colisiones. ¡Hasta hoy! Patrick Stach ha anunciado la disponibilidad de su código de fuente para encontrar las colisiones colisiones MD5 y MD4 (acoplamientos coralinos proporcionados para evitar el slashdotting). Las colisiones MD4 se pueden encontrar en algunos segundos (pero nadie las usa), mientras que las colisiones MD5 (todavía siendo

Vía Hispasec me enteré de la siguiente noticia:
Cisco ha anunciado que una cierta cantidad de sus productos se ven
afectados por una vulnerabilidad en el procesamiento de mensajes IPSec
IKE (Internet Key Exchange). Un atacante que explote adecuadamente
este problema provocaría denegaciones de servicio en los dispositivos
afectados.

Los dispositivos Cisco que utilicen las siguientes versiones de
software y estén configurados para usar IKE son vulnerables al
problema:
* Cisco IOS versiones basadas en 12.2SXD, 12.3T, 12.4 y 12.4T
* Cisco PIX Firewall versiones anteriores a la 6.3(5)
* Cisco PIX Firewall/ASA versiones anteriores a la 7.0.1.4
* Cisco Firewall Services Module (FWSM) versiones anteriores a la 2.3(3) * Cisco VPN 3000 Series Concentrators versiones anteriores a las
4.1(7)H y 4.7(2)B
* Cisco MDS Series SanOS versiones anteriores a la 2.1(2)

El problema se debe a que los dispositivos Cisco vulnerables no

El New York Times, publica que The Warner Bross tendrá aprox. 100 shows clásicos de TV disponibles para la transferencia directa libre con 1-2 minutos de anuncios por episodio. texto extraidodel artículo: "hay un retén (condición). Para utilizar la tecnología, los espectadores tendrán que acordar participar en una red que comparte los archivos (una especie de peer-to-peer). Este acercamiento ayuda a AOL para reducir el coste de los archivos video de alta calidada pasando las porciones de los archivos video a partir de una computadora del usuario a otra. AOL dice que puesto que controlará la red, puede proteger a usuarios contra las clases de virus y de spyware que infecten otros sistemas.

Se usa la tecnología p2p para reducir costes, no hacen falta servidores de descargas y hay menos problemas de almacenamiento, mantenimiento, etc, etc...

¿Qué opinas osbre esta noticia?

SANS Institute, conjuntamente con el FBI y el NIPC, han actualizado el documento "Las 20 vulnerabilidades de seguridad más críticas en Internet" donde explican cuáles son las vulnerabilidades de seguridad más críticas. Según indica el propio documentos Éstas son las habitualmente utilizadas en la mayor?a de incidentes de seguridad. Por tanto, eliminarlas se convierte en un factor crítico.

Nos encontramos ante la tercera revisión del documento desarrollado conjuntamente por SANS Institute, el FBI (policía federal de los Estados Unidos) y el NIPC (Centro de Protección de la Infraestructura Nacional de los Estados Unidos). La primera versión nació hace un par de años, cuando SANS Institute reunió en un documento las diez vulnerabilidades de seguridad más críticas. Se entiende, dentro del contexto de estos estudios que la criticidad viene dada por lo habitual en que las vulnerabilidades se utilizan en los ataques contra sistemas informáticos conectados a Internet.

La filosofía es muy simple:

Con un kernel 2.4, deberís usar "iptables".
Con un kernel 2.2, deberís usar "ipchains", mirate la
documentación.

rpm -ql ipchains (te mostrará donde está instalada)

Editamos un fichero de inicio del sistema, por
ejemplo:



/etc/rc.d/rc.local

Y colocamos AL FINAL del fichero la entrada.

Hola,
decias:
ahora como puedo hacer una configuración >>manual<< de ADSL bajo Linux, osea, no con el kppp, RH Network, linuxconf,ni nada de eso, algo que lo hagas tú, a "manini" y sepas donde estás tocando!!
--------

Bueno, es mucho más facil que con módem o RDSI, ya que tenemos un router, que es el que conecta y nosotros lo único que tenemos que hacer es engancharnos al router-adsl