Linux Para Todos - Ejemplos de reglas de firewall con Iptables: "Ejemplos de reglas de firewall con Iptables"
Cuando administradores de sistemas siempre debemos estar al pendiente de los puerto y servicios que se acceden desde el exterior o interior de la red local. Por los cual explicaremos como crear reglas sencilla para nuestro firewall por medio de la herramienta iptables.Todos estos ejemplos funcionan para cualquier distribución GNU/Linux.
Esta configuración se encuentra dentro de un script llamado firewall.sh
#!/bin/bash
#Fecha 28-09-2009
#Autor: Rodrigo Mendoza Martinez
#Alias: Ascariote
#Correo: rodmen82@gmail.com
#Licencia: GPL V.3
#Descripción: Script que permite configurar reglas del firewall por medio de iptables en distribuciones debian, Ubuntu y CentOS.
#### LIMPIEANDO REGLA ####
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#### ESTABLECEMOS POLITICAS ####
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#### REDIRECCIONAMIENTOS DE CORREOS ####
## Correo 1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8082 -j DNAT --to 192.168.0.3:80
## Correo 2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 445 -j DNAT --to 192.168.0.6:445
## Correo 3
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.8:81
#### REDIRECCIONAMIENTOS DE IIS ####
## WEB 1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8081 -j DNAT --to 192.168.0.1:8081
## WEB 2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5550 -j DNAT --to 192.168.0.4:5550
#### CONEXION TUN EN OPENVPN ####
iptables -A INPUT -i tun+ -p icmp -j ACCEPT
iptables -A OUTPUT -o tun+ -p icmp -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
#### TUNEL PPTPD ####
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
#### ACCESO A LA RED LOCAL ####
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
#### MASQUERAMIENTO DE LA RED LOCAL ####
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#### REDIRECCIONAMIENTO DEL SERVICIO HTTP A SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#### ACEPTAMOS CONEXIONES LOCALES ####
iptables -A INPUT -i lo -j ACCEPT
#### BLOQUEAMOS LOS PING ####
iptables -A INPUT -p icmp -s 0.0.0.0/0 -j DROP
#### SERVICIO APACHE ####
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#### SERVICIO SSH ####
iptables -A INPUT -i ppp0 -p tcp --dport 58797 -j ACCEPT
#### RECHAZAMOS LOS DE MAS DEMÁS PUERTOS ####
iptables -A INPUT -i ppp0 -p tcp --dport 1:1024 -j REJECT
iptables -A INPUT -i ppp0 -p udp --dport 1:1024 -j REJECT
iptables -A INPUT -i ppp0 -p tcp --syn --dport 1025:65535 -j REJECT
#### Guardamos la configuración del firewall
iptables-save > /root/iptables
30 sept 2009
How to Make a Layered Chocolate Fudge Cake (with video) - wikiHow
How to Make a Layered Chocolate Fudge Cake (with video) - wikiHow: "How to Make a Layered Chocolate Fudge Cake"
Alerta de Seguridad!!!! | Asterisk Peru
Alerta de Seguridad!!!! | Asterisk Peru: "Alerta de Seguridad llamadas robadas!!!!"
Estimados
He recibido ya 3 reportes de ataques severos de llamadas internacionales a traves de Asterisk mal configurados o expuestos hacia Internet.
Estos ataques suceden en la mayoria de los casos, los fines de Semana, y hasta ahora reportados por clientes de Telmex, ya que Telmex SOLO monitorea los consumos sospechosos de lunes a viernes y no los fines de semana.
Estos ataques buscan servidores Asterisk, expuestos hacia internet, incluso NATeados con firewalls, (cuando erroneamente se natea el puerto 5060 en TCP, se expone el puerto a los escaneos)
Intentan mediante fuerza bruta, diferentes numeros de anexos, como los tipicos 100, 101, 1000, 201, etc etc y prueban muchos passwords. Muchas veces es el mismo pass para todos los anexos.
Luego ubican un anexo que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc etc..., si logran tener salida, VENDEN la ruta a algun terminador internacional y durante ese sabado y domingo pueden meter un trafico enorme de llamadas...
He visto casos de 20,000 minutos a celulares de Africa, lo que equivale a 60 mil soles de factura en solo 2 dias.
A estar muy alertas!!!!
Recomiendo (y espero me puedan dar mas ideas)
1) Si hay que exponer el servidor, usar Portsentry para no dejarse escanear
2) Solo Natear en UDP no en TCP
3) Que no existan cuentas que pueden salir a TODOs los recursos, no importa que sea la cuenta del fax o la del gerente general, al exponer hacia internet el server se exponen TODOS los anexos.
3.5) Usar claves de salida, prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales...
4) Hay ataques por el contexto DEFAULT, este contexto es peligroso y debe solo llevar hasta el IVR y desde el IVR SOLO se deberia poder marcar un anexo y nada mas...
5) Mejorar los passwords de los anexos, no usar el 0000 o el 1234... hay que ser mas creativos...
En VoIP los Firewalls no resuelven nada porque igual hay que abrirlos para que pase la voz y por esa misma via te pueden atacar.
Salu2
Espero sus comentarios
Miguel Rabi
Estimados
He recibido ya 3 reportes de ataques severos de llamadas internacionales a traves de Asterisk mal configurados o expuestos hacia Internet.
Estos ataques suceden en la mayoria de los casos, los fines de Semana, y hasta ahora reportados por clientes de Telmex, ya que Telmex SOLO monitorea los consumos sospechosos de lunes a viernes y no los fines de semana.
Estos ataques buscan servidores Asterisk, expuestos hacia internet, incluso NATeados con firewalls, (cuando erroneamente se natea el puerto 5060 en TCP, se expone el puerto a los escaneos)
Intentan mediante fuerza bruta, diferentes numeros de anexos, como los tipicos 100, 101, 1000, 201, etc etc y prueban muchos passwords. Muchas veces es el mismo pass para todos los anexos.
Luego ubican un anexo que tenga salida a todos los recursos, esto mediante software robot que hace varias pruebas, con un 9, con 00, etc etc..., si logran tener salida, VENDEN la ruta a algun terminador internacional y durante ese sabado y domingo pueden meter un trafico enorme de llamadas...
He visto casos de 20,000 minutos a celulares de Africa, lo que equivale a 60 mil soles de factura en solo 2 dias.
A estar muy alertas!!!!
Recomiendo (y espero me puedan dar mas ideas)
1) Si hay que exponer el servidor, usar Portsentry para no dejarse escanear
2) Solo Natear en UDP no en TCP
3) Que no existan cuentas que pueden salir a TODOs los recursos, no importa que sea la cuenta del fax o la del gerente general, al exponer hacia internet el server se exponen TODOS los anexos.
3.5) Usar claves de salida, prefijos o no permitir recursos simples como 00 para internacionales o 0 para nacionales...
4) Hay ataques por el contexto DEFAULT, este contexto es peligroso y debe solo llevar hasta el IVR y desde el IVR SOLO se deberia poder marcar un anexo y nada mas...
5) Mejorar los passwords de los anexos, no usar el 0000 o el 1234... hay que ser mas creativos...
En VoIP los Firewalls no resuelven nada porque igual hay que abrirlos para que pase la voz y por esa misma via te pueden atacar.
Salu2
Espero sus comentarios
Miguel Rabi
28 sept 2009
Networking-VoIP-Seguridad Informatica: Lista de consumo de ancho de banda de algunos codecs VoIP
Networking-VoIP-Seguridad Informatica: Lista de consumo de ancho de banda de algunos codecs VoIP: "Lista de consumo de ancho de banda de algunos codecs VoIP
Codec ------- BR ------- NEB
G.711 ------64 Kbps ---- 87.2 Kbps
G.729 ------ 8 Kbps ------- 31.2 Kbps
G.723. ---- 16.4 Kbps ---- 21.9 Kbps
G.723 ---- .15.3 Kbps ---- 20.8 Kbps
G.726 ---- 32 Kbps ---- 55.2 Kbps
G.726 ---- 24 Kbps ---- 47.2 Kbps
G.728 ----16 Kbps ---- 31.5 Kbps}
donde:
BR = Bit rate
NEB = Nominal Ethernet Bandwidth"
Codec ------- BR ------- NEB
G.711 ------64 Kbps ---- 87.2 Kbps
G.729 ------ 8 Kbps ------- 31.2 Kbps
G.723. ---- 16.4 Kbps ---- 21.9 Kbps
G.723 ---- .15.3 Kbps ---- 20.8 Kbps
G.726 ---- 32 Kbps ---- 55.2 Kbps
G.726 ---- 24 Kbps ---- 47.2 Kbps
G.728 ----16 Kbps ---- 31.5 Kbps}
donde:
BR = Bit rate
NEB = Nominal Ethernet Bandwidth"
24 sept 2009
10 valuable Twitter utilities for business users | 10 Things | TechRepublic.com
10 valuable Twitter utilities for business users | 10 Things | TechRepublic.com: "# 10 valuable Twitter utilities for business usersTwitdom
# 100 Twitter tools to help you achieve your goals
# 99 essential Twitter tools and applications
# 50 useful Twitter tools for writers and researchers
# Twittermania: 140+ more Twitter tools"
# 100 Twitter tools to help you achieve your goals
# 99 essential Twitter tools and applications
# 50 useful Twitter tools for writers and researchers
# Twittermania: 140+ more Twitter tools"
10 valuable Twitter utilities for business users | 10 Things | TechRepublic.com
10 valuable Twitter utilities for business users | 10 Things | TechRepublic.com: "10 valuable Twitter utilities for business users"
10 common issues you can fix with a registry hack | 10 Things | TechRepublic.com
10 common issues you can fix with a registry hack | 10 Things | TechRepublic.com: "10 common issues you can fix with a registry hack
* Date: July 9th, 2009"
* Date: July 9th, 2009"
How do I use Prey to help recover a stolen laptop? | Microsoft Windows | TechRepublic.com
How do I use Prey to help recover a stolen laptop? | Microsoft Windows | TechRepublic.com: "How do I use Prey to help recover a stolen laptop?"
22 sept 2009
Download the IPConfig Gadget to simplify troubleshooting in Vista | Microsoft Windows | TechRepublic.com
Download the IPConfig Gadget to simplify troubleshooting in Vista | Microsoft Windows | TechRepublic.com: "Download the IPConfig Gadget to simplify troubleshooting in Vista"
21 sept 2009
TECNOLOGÍAS DE LA INFORMACIÓN Y C
TECNOLOGÍAS DE LA INFORMACIÓN Y C: "Telecomunicaciones, espero sea de mucha ayuda.
CONFIGURACION BASICA DE CALLMANAGER"
CONFIGURACION BASICA DE CALLMANAGER"
14 sept 2009
Como crear un SKIPE portatil - Universo Symbian
Como crear un SKIPE portatil - Universo Symbian: "Como crear un SKIPE portatil"
Skype es hoy por hoy el sistema quizás mas utilizado para videoconferencia y VoIP, especialmente indicado para el usuario móvil, el siempre conectado. Es por eso mas incomprensible que no haya una versión portátil y móvil de Skype.
Afortunadamente, con esta pequeña guía es fácil tener Skype Portátil.
Antes de nada, por supuesto, debes tener instalado Skype en tu PC y disponer de un disco portátil USB, con esta base ya podemos empezar …
1. Crea una carpeta en tu disco portátil, llámala como quieras, por ejemplo ‘Skype’
2. Ve a donde está instalado Skype en tu PC, normalmente en ‘C:\Archivos de Programa\Skype’ y localiza el archivo llamado ’skype.exe’
3. Haz clic derecho en el archivo ’skype.exe’ y haz clic en la opción “Copiar”
4. Ve a la carpeta ‘Skype’ que has creado en tu pendrive y haz clic derecho y luego clic en pegar (o Control+V). Con esto creas una copia del ejecutable en tu pendrive
5. En la carpeta ‘Skype’ de tu pendrive crea una subcarpeta llamada ‘Data’
6. Crea un nuevo documento dentro de esa carpeta y llámalo ’skype.bat’
7. Abre el archivo y añade el siguiente texto:
skype.exe /datapath:”Data” /removable
8. Guarda el archivo y ya lo tienes, una versión portátil de Skype
Ya me contareis
Skype es hoy por hoy el sistema quizás mas utilizado para videoconferencia y VoIP, especialmente indicado para el usuario móvil, el siempre conectado. Es por eso mas incomprensible que no haya una versión portátil y móvil de Skype.
Afortunadamente, con esta pequeña guía es fácil tener Skype Portátil.
Antes de nada, por supuesto, debes tener instalado Skype en tu PC y disponer de un disco portátil USB, con esta base ya podemos empezar …
1. Crea una carpeta en tu disco portátil, llámala como quieras, por ejemplo ‘Skype’
2. Ve a donde está instalado Skype en tu PC, normalmente en ‘C:\Archivos de Programa\Skype’ y localiza el archivo llamado ’skype.exe’
3. Haz clic derecho en el archivo ’skype.exe’ y haz clic en la opción “Copiar”
4. Ve a la carpeta ‘Skype’ que has creado en tu pendrive y haz clic derecho y luego clic en pegar (o Control+V). Con esto creas una copia del ejecutable en tu pendrive
5. En la carpeta ‘Skype’ de tu pendrive crea una subcarpeta llamada ‘Data’
6. Crea un nuevo documento dentro de esa carpeta y llámalo ’skype.bat’
7. Abre el archivo y añade el siguiente texto:
skype.exe /datapath:”Data” /removable
8. Guarda el archivo y ya lo tienes, una versión portátil de Skype
Ya me contareis
9 sept 2009
Default Logins and Passwords for Networked Devices | Governmentsecurity.org
Default Logins and Passwords for Networked Devices | Governmentsecurity.org: "efault Logins and Passwords for Networked Devices"
6 sept 2009
sipXecs News, Tips and Equipment: pfSense with Freeswitch for SIP Trunks to sipXecs
sipXecs News, Tips and Equipment: pfSense with Freeswitch for SIP Trunks to sipXecs: "pfSense with Freeswitch for SIP Trunks to sipXecs"
Suscribirse a:
Entradas (Atom)