IPtables

Discussion in 'Elastix 2.x' started by ish, Oct 21, 2010.

  1. ish

    ish

    Joined:
    Apr 28, 2010
    Messages:
    61
    Likes Received:
    0
    Buenas,

    Me estoy volviendo loco con el iptables. Espero que me podais ayudar

    Tengo una centralita que esta directamente en internet. En la tarjeta de red de la centralita le pongo la IP publica. (tanto troncales como extensiones estan en otros sitios y acceden por internet)

    Quiero ponerle en marcha el iptables para tener seguridad, puesto que no tiene un firewall fisico delante. Ahora cualquiera que ponga la IP publica en el navegador llega hasta la web de logeo de elastix.

    Lo que quiero hacer es lo siguiente:

    111.222.333.444 IP de gestion (mi IP)
    555.666.777.888 IP del proveedor de voz. Donde se logearan las troncales
    111.444.777.0/24 Rango de IPs publicas donde estaran las extensiones


    Puertos tipo IP desde la que puede entrar

    todos tcp/udp 111.222.333.444
    53288 tcp 555.666.777.888
    5469 tcp/udp 555.666.777.888
    5900-5905 tcp/udp 555.666.777.888
    5004-5100 tcp/udp 555.666.777.888
    10000-20000 tcp/udp 555.666.777.888
    53288 tcp 111.444.777.0/24
    5469 tcp/udp 111.444.777.0/24
    5900-5905 tcp/udp 111.444.777.0/24
    5004-5100 tcp/udp 111.444.777.0/24
    10000-20000 tcp/udp 111.444.777.0/24


    He hecho una prueba sencilla, pero falla y no se por que:

    # Generated by iptables-save v1.3.5 on Thu Oct 21 18:49:09 2010
    *filter
    :INPUT DROP [0]
    :FORWARD DROP [0]
    :OUTPUT ACCEPT [530]
    -A INPUT -s 111.222.333.444 -j ACCEPT
    COMMIT
    # Completed on Thu Oct 21 18:49:09 2010

    Con esto de arriba, solo llego a la centralita desde mi IP de gestion, pero puedo entrar tanto con el putty como por el entorno web.

    Luego he implementado lo siguiente:

    # Generated by iptables-save v1.3.5 on Thu Oct 21 18:49:09 2010
    *filter
    :INPUT DROP [0]
    :FORWARD DROP [0]
    :OUTPUT ACCEPT [530]
    -A INPUT -s 111.222.333.444 -j ACCEPT
    -A INPUT -s 111.444.777.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -s 111.444.777.0/255.255.255.0 -p tcp -m tcp --dport 443 -j ACCEPT
    COMMIT
    # Completed on Thu Oct 21 18:49:09 2010

    Y aqui me he quedado, he puesto los puertos 80 y 443 para ver si desde las IPs de 111.444.777.0/24 podia entrar. Pero no solo no me deja entrar via web desde este rango que he puesto. Ahora tampoco me deja entrar via web desde 111.222.333.444

    El script que he usado para crear las reglas ha sido:

    ## Establecemos politica por defecto
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    ## se eliminan reglas previas que hubiera y cadenas definidas por el usuario
    iptables -F
    iptables -X
    ##Empezamos a decir quien puede entrar y por que puerto
    # A nuestra IP le dejamos todo
    iptables -A INPUT -s 111.222.333.444 -j ACCEPT
    # Permitir acceso a 80 TCP (http) desde IP 194.30.55.0/24
    iptables -A INPUT -s 111.444.777.0/24 -p tcp --dport 80 -j ACCEPT
    # Permitir acceso a 443 TCP (https) desde IP 194.30.55.0/24
    iptables -A INPUT -s 111.444.777.0/24 -p tcp --dport 443 -j ACCEPT
    # Cerramos.
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    /sbin/service iptables save
    # Fin del script


    Desde ahora, gracias por la ayuda.
     
  2. hugo_cba

    Joined:
    May 22, 2008
    Messages:
    222
    Likes Received:
    0
    No entiendo mucho de IpTables como para ayudarte...

    Si instalas webmin, podés configurar iptables con un entorno más amigable (a mi dio fiaca hacerlo como estás haciendo vos y opté por lo más sencillo: yum install webmin)

    Saludos

    P.D: no veo nada malo, aunque al puerto 80 abierto está de más. con el 443 está bien
     
  3. ish

    ish

    Joined:
    Apr 28, 2010
    Messages:
    61
    Likes Received:
    0
    Puse el webmin y estoy en las mismas.

    Aceptar Si origen es 111.222.333.444
    Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 53488
    Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 4569
    Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 4569
    Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5900:5905
    Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5900:5905
    Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5004:5100
    Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 5004:5100
    Aceptar Si protocolo es TCP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 10000:20000
    Aceptar Si protocolo es UDP y origen es 555.666.777.0/255.255.255.0 y el puerto destino es 10000:20000


    Nada no me deja entrar por la web al elastix, desde el 111.222.333.444. Puedo entrar al webmin, puedo entrar con el putty, pero no me deja entrar al entorno web del Elastix.

    Y encuanto le digo 'Establecer accion por defecto' ACCEPT en el INPUT se soluciona el problema y me deja entrar a la web de Elstix. Pero claro asi no tengo ninguna regla.

    Alguien sabe por que no me deja entrar por el 443???

    un saludo.
     
  4. fxlm58

    Joined:
    Feb 13, 2010
    Messages:
    3
    Likes Received:
    0
    try resetting the mysql password
     
  5. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    Re: Re:IPtables

    que router tienes???

    quizas podrias configurar los puertos desde ahi... ya que si configuras mas cosas en tu servidor, este generara mas procesos de los necesarios llegandoa un punto en el que pueda afectar tu sistema y el desempeño de este mismo.
     
  6. ish

    ish

    Joined:
    Apr 28, 2010
    Messages:
    61
    Likes Received:
    0
    fxlm58; ¿Que tiene que ver la contraseña de mysql? Hay opaciones en las que no llego por web, pero no es que meta mal la clave, es que no me deja ni llegar a la web de logeo. Y si le pongo el INPUT a accept ya me deja entrar sin trabas.

    zeoneo; no tengo un router, estoy pinchado directamente a internet. Podria comprar un firewall y ponerlo delante de la centralita. Pero me parece tonteria gastar dinero si tengo el iptables.

    De todas formas me he dado cuenta que no me esta funcionando.

    Las llamas entrantes no pasan. Por algun motivo me las para, alguien me puede decir si me falta algun puerto por abrir?

    hugo_cba; cuando lo hiceste desde el webmin que puertos dejastes abiertos

    Muchas gracias.
     

Share This Page