IPtables

ish

Joined
Apr 28, 2010
Messages
61
Likes
0
Points
0
#1
Buenas,

Me estoy volviendo loco con el iptables. Espero que me podais ayudar

Tengo una centralita que esta directamente en internet. En la tarjeta de red de la centralita le pongo la IP publica. (tanto troncales como extensiones estan en otros sitios y acceden por internet)

Quiero ponerle en marcha el iptables para tener seguridad, puesto que no tiene un firewall fisico delante. Ahora cualquiera que ponga la IP publica en el navegador llega hasta la web de logeo de elastix.

Lo que quiero hacer es lo siguiente:

111.222.333.444 IP de gestion (mi IP)
555.666.777.888 IP del proveedor de voz. Donde se logearan las troncales
111.444.777.0/24 Rango de IPs publicas donde estaran las extensiones


Puertos tipo IP desde la que puede entrar

todos tcp/udp 111.222.333.444
53288 tcp 555.666.777.888
5469 tcp/udp 555.666.777.888
5900-5905 tcp/udp 555.666.777.888
5004-5100 tcp/udp 555.666.777.888
10000-20000 tcp/udp 555.666.777.888
53288 tcp 111.444.777.0/24
5469 tcp/udp 111.444.777.0/24
5900-5905 tcp/udp 111.444.777.0/24
5004-5100 tcp/udp 111.444.777.0/24
10000-20000 tcp/udp 111.444.777.0/24


He hecho una prueba sencilla, pero falla y no se por que:

# Generated by iptables-save v1.3.5 on Thu Oct 21 18:49:09 2010
*filter
:INPUT DROP [0]
:FORWARD DROP [0]
:OUTPUT ACCEPT [530]
-A INPUT -s 111.222.333.444 -j ACCEPT
COMMIT
# Completed on Thu Oct 21 18:49:09 2010

Con esto de arriba, solo llego a la centralita desde mi IP de gestion, pero puedo entrar tanto con el putty como por el entorno web.

Luego he implementado lo siguiente:

# Generated by iptables-save v1.3.5 on Thu Oct 21 18:49:09 2010
*filter
:INPUT DROP [0]
:FORWARD DROP [0]
:OUTPUT ACCEPT [530]
-A INPUT -s 111.222.333.444 -j ACCEPT
-A INPUT -s 111.444.777.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 111.444.777.0/255.255.255.0 -p tcp -m tcp --dport 443 -j ACCEPT
COMMIT
# Completed on Thu Oct 21 18:49:09 2010

Y aqui me he quedado, he puesto los puertos 80 y 443 para ver si desde las IPs de 111.444.777.0/24 podia entrar. Pero no solo no me deja entrar via web desde este rango que he puesto. Ahora tampoco me deja entrar via web desde 111.222.333.444

El script que he usado para crear las reglas ha sido:

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
## se eliminan reglas previas que hubiera y cadenas definidas por el usuario
iptables -F
iptables -X
##Empezamos a decir quien puede entrar y por que puerto
# A nuestra IP le dejamos todo
iptables -A INPUT -s 111.222.333.444 -j ACCEPT
# Permitir acceso a 80 TCP (http) desde IP 194.30.55.0/24
iptables -A INPUT -s 111.444.777.0/24 -p tcp --dport 80 -j ACCEPT
# Permitir acceso a 443 TCP (https) desde IP 194.30.55.0/24
iptables -A INPUT -s 111.444.777.0/24 -p tcp --dport 443 -j ACCEPT
# Cerramos.
iptables -P INPUT DROP
iptables -P FORWARD DROP
/sbin/service iptables save
# Fin del script


Desde ahora, gracias por la ayuda.
 

hugo_cba

Joined
May 22, 2008
Messages
222
Likes
0
Points
0
#2
No entiendo mucho de IpTables como para ayudarte...

Si instalas webmin, podés configurar iptables con un entorno más amigable (a mi dio fiaca hacerlo como estás haciendo vos y opté por lo más sencillo: yum install webmin)

Saludos

P.D: no veo nada malo, aunque al puerto 80 abierto está de más. con el 443 está bien
 

ish

Joined
Apr 28, 2010
Messages
61
Likes
0
Points
0
#3
Puse el webmin y estoy en las mismas.
[size=2

]
Aceptar Si origen es 111.222.333.444
Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 53488
Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 4569
Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 4569
Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5900:5905
Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5900:5905
Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5004:5100
Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5004:5100
Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 10000:20000
Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 10000:20000 [/size]

Nada no me deja entrar por la web al elastix, desde el 111.222.333.444. Puedo entrar al webmin, puedo entrar con el putty, pero no me deja entrar al entorno web del Elastix.

Y encuanto le digo 'Establecer accion por defecto' ACCEPT en el INPUT se soluciona el problema y me deja entrar a la web de Elstix. Pero claro asi no tengo ninguna regla.

Alguien sabe por que no me deja entrar por el 443???

un saludo.
 

fxlm58

Joined
Feb 13, 2010
Messages
3
Likes
0
Points
0
#4
try resetting the mysql password
 

zeoneo

Joined
Sep 24, 2009
Messages
549
Likes
0
Points
0
#5
Re: Re:IPtables

que router tienes???

quizas podrias configurar los puertos desde ahi... ya que si configuras mas cosas en tu servidor, este generara mas procesos de los necesarios llegandoa un punto en el que pueda afectar tu sistema y el desempeño de este mismo.
 

ish

Joined
Apr 28, 2010
Messages
61
Likes
0
Points
0
#6
fxlm58; ¿Que tiene que ver la contraseña de mysql? Hay opaciones en las que no llego por web, pero no es que meta mal la clave, es que no me deja ni llegar a la web de logeo. Y si le pongo el INPUT a accept ya me deja entrar sin trabas.

zeoneo; no tengo un router, estoy pinchado directamente a internet. Podria comprar un firewall y ponerlo delante de la centralita. Pero me parece tonteria gastar dinero si tengo el iptables.

De todas formas me he dado cuenta que no me esta funcionando.

Las llamas entrantes no pasan. Por algun motivo me las para, alguien me puede decir si me falta algun puerto por abrir?

hugo_cba; cuando lo hiceste desde el webmin que puertos dejastes abiertos

Muchas gracias.
 

Members online

Latest posts

Forum statistics

Threads
30,915
Messages
130,920
Members
17,594
Latest member
knethardsolutions
Top