Forums:
Que tal amigos muy buen dia.
Tengo unas dudas ya que soy nuevo en linux, mi problema es mas de seguridad, las lineas de codigo que les escribo abajo funcionan bien para tener internet en una LAN por medio de un linux(RH-9), pero mis dudas son:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo "1" > /proc/sys/net/ipv4/ip_forward
## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP
* Tengo seguridad de mi red ante posibles ataques ?? Ya sean por puertos abiertos o politicas mal establecidas.
* Me estan indicando que me cambie a Fedora Core 3. Puedo poner en funcionamiento tales lineas de codigo para el Firewall.
********** El otro problema que tengo es sobre el proxy-SQUID -***********
Lo que hice fue añadir los paquetes necesarios para utilizar SQUID, se añadieron automaticamente me pido el CD1 de RH9 y configure las lineas necesarias en el squid.conf pero me da el siguiente error:
[root@cosideco /]# service squid start
init_cache_dir /var/spool/squid... /etc/init.d/squid: line 162: 3157 Abortado $SQUID -z -F -D 2>/dev/null
Iniciando squid: /etc/init.d/squid: line 162: 3158 Abortado $SQUID $SQUID_OPTS 2>/dev/null
[FALLÓ]
De antemano les quedo muy agradecido por su ayuda y esperando respuestas; estos foros me han servido de mucho para aprender mas sobre LINUX.
NEWFLACO2001:
"Un fracasado es un hombre que ha cometido un error
pero no es capaz de convertirlo en experiencia"
Iptables
Amigo iptables es una herramienta, muy poderosa, y te aconsejo leerte los manuales donde te enseñan la sintaxis y todas las reglas y normas es mejor que estar copiando scripts de internet hacerlos correr sin saber que es lo que esta haciendo, y lleva a que tu red conectada a internet sufra del mal de trafico , LAMENTABLEMENTE ESTE ES UN MAL QUE MUCHA GENTE DE ESTE FORO LE GUSTA HACER TENER TODO MASTICADO Y NO INVESTIGAR, CUANDO SABES QUE INVESTIGANDO TE LLENAS DE MUCHOS CONOCIMIENTOS Y PUDEDES APORTAR A NUEVAS IDEAS, cuando ya lo entiendas puede ir modificando segun tus gustos, ya que veo que ese script que nos estas mostrando corresponde a un tutorial que anda por internet, asi de esa forma podras crear tus propias reglas de filtrado segun tu politicas de red, como te digo iptables es brutal y se pueden hacer las mil maravillas.
Y en el caso del squid tienes algun error en el squid.conf
Saludos
"Linux es Infinito para esta vida y la otra :)"
"Linux es Infinito"
una vez tuve una situación
una vez tuve una situación así con alguien de este foro que exigía (ya no era "quería") que yo le respondiera y le diera peros y porqueses. Ni que debuguear un firewall fuera fácil. ni agradable.
ME apena, pero tendrás que revisarlo tu, poquito a poco, además, rh9 está bien viejo, actualízalo sino de poco te valdrá el firewall.
saludos
epe
--
EcuaLinux.com
(02)3412402 - (09)9246504
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
El script si te sirve tanto
El script si te sirve tanto para Rh9 como para cualquier otra distro, seguridad ante ataques, faltan algunas cosas como crear reglas para DoS, ping, etc.Investiga en google.
En cuanto al squid, debes configurar el squid.conf para que este funcione de lo contrario no va a pasar nada y te seguirà dando el error.
Busca en google sobre como configurar el squid o mira en http://www.linuxparatodos.net/geeklog/staticpages/index.php?page=manuales-indice
Exactamente como te comentan
Exactamente como te comentan los demás compañeros, el script es útil en cualquier distro que tenga iptables, ya que no se trata de un script de RH si no de IPTABLES, sí sería útil que revises un poco los manuales para aprender algo más sobre esta exelente herramienta.
Por lo del squid, el error es claro, revisa la línea 162 del archivo /etc/squid/squid.conf y corrige el error.
Saludos.
F1 Tecnología Informática
amigo, si quieres puedes
amigo, si quieres puedes migrar a Centos 4.1, el cual yo lo hice en mi oficina, solo booteas el primer cd, colocas linuxupgrade any y listo, el se encarga de actualizar todo, y te respeta las configuraciones que tengas, porque yo tenia squid y lo termine de isntalar y no tuve que hacer nada porque como es un clonico de RHE, se basan en las mismas cosas, solo que en la actualización vas a tener un error que es con el pop3, porque el que tiene rh9, ya no es soportado en centos, entonces debes instalar el dovecot y listo, entonces haor apuedes trabajar con tu server actualizado, con respecto a las iptables estan bien, pero si quieres mas seguridades, comparto la opinion de los amigos del foro, revisar algunos tutoriales de internet sobre iptables, me olvidabe en la actualización tb se guardan las configuraciones de firewall, por si acaso te quede duda
Veo que ya la mayoria te ha
Veo que ya la mayoria te ha dado la bienvenidad con consejos y sugerencias, es lo correcto y lo normal, para este y cualquier tipo de actividad existe lo facil y lo correcto, si realmente quieres hacer lo correcto sigue los siguientes pasos:
Investiga
Lee y comprende manuales
Implementa
Y luego si pregunta.
Revisa estos links
Para lo del firewall
www.netfilter.org
www.pelo.info
Para lo del squid
Revisa el FAQ en www.squid-cache.org
revisa los logs del squid para ver si te da algun indicio del error.
There are only 10 types people in the word:
Those who understand binary and those who don't
There are only 10 types people in the world:
Those who understand binary and those who don't
Mi comentario
Espero no estar equivocado, de iptables tampoco sé mucho, sin embargo de lo que comprendo del script estás poniendo como política el aceptar, y como reglas niegas lo innecesario, sin embargo es preferible que la política sea negar todo y como reglas ir permitiendo acceso a lo estrictamente necesario. Pero como te comento, tampoco conozco mucho de iptables y no estoy seguro de si esa es la filisofía, nos toca investigar un poco :-)
Sobre el squid, está claro que tienes algún problema con la línea 162 del squid.conf, sin embargo te pregunto, ¿inicializaste el caché antes de intentar levantar el servicio?
Saludos.
Saludos,
antares
Buena Observación
Completamente de acuerdo, la mejor política del firewall debe ser negar todo y aceptar lo estrictamente necesario...
Gracias
Gracias, mira me podrias ayudar. Como inicializo el cache, explicame como lo hago para ver si el error desaparece.
Si, he leido que es mejor adoptar esta politica de NEgar todo y dar permisos. El script de arriba era solo el inicio para que me guien y ver que era mejor, SI QUE ME HAN DADO UNA BUENA REPELADA, por poner dicho script.
Saludos.
squid -z
squid -z
Prueba siempre programa -h o programa --help para ver las opciones mas comunes.
Páginas