Forums:
Estimados,
Tengo un servidor web que estará con una ip publica con dnat y no estoy seguro si las reglas de iptables son las adecuadas. Implemente las siguientes reglas.
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p icmp -s 10.10.2.0/23 -j ACCEPT
iptables -A INPUT -p tcp -s 10.10.2.0/23 --dport 22 -j ACCEPR
iptables -A INPUT -p tcp --dport 8082 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
No se si es =ta bien me pueden dar una mano?
Por qué DNAT ...???
Por qué DNAT ...???
No basta con hacer port forwarding de los puertos mínimos requeridos para los servicios que vas a brindar ...???
bye
;)
El dnat lo realizo con un
El dnat lo realizo con un firewall fisico, no es el mismo servidor web. por eso me gustaria saber si las reglas del iptables que puse en el servidor web son correctas o estan mal o me falta poner algo mas.
No importa cual sea el
No importa cual sea el firewall, si puedes hacer DNAT, es seguro que podrás hacer port forwarding sin problemas, lo más recomendable es forwardear solo los puertos de los servicios que vas a usar, deberías decir que servicios piensas usar en ese servidor ...
bye
;)
Es una aplicacion web, que se
Es una aplicacion web, que se ingresa por el puerto 8082, por eso quiero dejar solo permisos para que puedan acceder via web desde el mundo.
En las reglas de iptables puse tambien el ssh para ingresar desde mi red lan. En el borde tengo un firewall fisico que solo hago un nateado a la ip real del servidor web.
Pues no natees todo el
Pues no natees todo el servidor hacia el Internet, solo forwardea el puerto 8082 del firewall hacia el servidor y si internamente igual quieres ponerle reglas, cierra todo (default policy DROP) y abre solo los puertos que necesitas 22 y 8082.
bye
;)