IPTables MODULAR RTB - IPTABLES MODULAR PARA MODEM 56k
18 de Septiembre de 2005
Servidores web
Aclaro que realmente no es que sean modulos, pero así los llamaremos ya que gracias a que Iptables soporta añadir y quitar reglas dejando el resto intacto, nos aprovecharemos de eso para añadir o quitar reglas que se nos antojen.
NOTA: Es muy importante que tengas en cuenta que tanto en el script madre como en los modulos tendremos que hacer unos breves retoques antes de que nuestro sistema comienze a usarlos. Porque si no, el script no funcionará.
IptMjgl: Este es la base de el depende todo, lo que deberíamos de editar sería el apartado Definimos variables (obligatoria su edición). Allí mediante variables, haremos nuestro sistema más seguro, al estar el script más ajustado a nuestro sistema, que es precisamente de lo que se trata. No es difícil, como podrás ver en cada subapartado.
NOTA: Los modulos tienen nombre que empieza por 0 ó 1. Lo cual significa: 1 activa y 0 desactiva lo que lleve detrás.
Todos los modulos deben de ser modificados el apartado Definimos variables (obligatoria su edición). Estos son los modulos que tenemos hasta ahora disponibles, usando estos como plantilla puedes hacerte tú los que necesites.
1ftppas: Con él podremos hacer uso del ftp pasivo.
0ftppas:Y este es para quitar el ftppasivo, cuando no lo precisemos.
1smtp: Mediante el uso de este modulo podremos enviar correo.
0smtp: Se desactiva el poder enviar correos.
1root: Su uso permitirá el tráfico saliente que tenga privilegios de root. Que por defecto está activado.
0root: Si lo activamos bloquearemos el tráfico saliente con privilegios de root.
1keyserv: Gracias a este modulo podremos conectarnos al servidor de llaves hkp://subkeys.pgp.net--- ---**__0keyserv__**: Y este el antidoto para quitar el modulo anterior.
1privoxy: Con este modulo podremos usar el excelente programa privoxy para filtrar basurilla de la red.
0privoxy: Contra el otro modulo, usaremos este para no usar privoxy.
limpiador: Este archivo se encarga de quitar de la memoria del sistema el script madre, los modules de script (que tuviere), los modulos de iptables que se levantaron y dos archivos que se crearon en el directorio /etc, Ale1 y Ale2.
NOTA: Como es lógico le puedes cambiar el nombre a los scripts si así lo consideras, pero una cosa tienes que tener en cuenta, el dueño y grupo debe de ser root, y tendrán sólo permisos de lectura, escritura y ejecución por éste. Guardalos donde consideres oportunos y tienes que hacer que se ejecute el script madre durante la carga del sistema..
Tanto el script madre como los modulos, podras modificarlos a tu gusto, figurate alguien que envie correo constantemente pues igual le interesaría tener el modulo SMTP en el script madre por ejemplo.
Otra idea interesante que te puede ahorrar el copiar y pegar, es que donde hallas puesto para que se ejecute el script madre al arrancar el sistema pongas también que se ejecute el modulo que te interese, pero eso ya es personal cada cual lo haga según vea.
Todo el tráfico está limitado para que no salga tráfico con privilegios de root. Esto puede dar problemas con según que programas, pongamos el ejemplo de swaret, tendría que activar el modulo 1root, para usarlo y luego quitarlo con 0root.
El tema de los logs es algo tan personal, que sería importante cada cual lo modificara a su antojo yo he dejado por defecto que te logee solo las conexiones que bloquea el script.
En Logueador general están las lineas descomentadas, tanto de lo mismo, en las reglas que son permisivas, que podriamos tener constancia de que se han cumplido. La pega con tanto log, es que tendráimos unos logs grandísimos (aunque hay programas que se encargan de limitar esto) por eso me he curado en salud, y que cada cual lo adapte a sus necesidades, teniendo al menos un buen punto de partida.
La politica del script es todo cerrado, como se puede ver en el subapartado Establecemos política a seguir.
El script también levanta unos modulos de Iptables, que tienen que venir sobrados para nuestra pequeña conexión a internet. Aparte de algunas protecciones que he recopilado por la red. No está de más darle un vistazo al scripts y a los modulos para ver que es lo que contienen. Si tienes alguna sugerencia hazmelo saber...
NOTA: Y por supuesto no me hago responsable de ningún daño a tu equipo por usar este script, si lo usas que sea bajo tu responsabilidad; yo no soy ningún experto en redes, tan solo un aficionado que espóradicamente lee algo por ahí.
Puedes bajar el script madre y los modulos desde aquí: todo.tar.gz∞.
NOTA: Es muy importante que tengas en cuenta que tanto en el script madre como en los modulos tendremos que hacer unos breves retoques antes de que nuestro sistema comienze a usarlos. Porque si no, el script no funcionará.
Por un lado tenemos el script madre://**
IptMjgl: Este es la base de el depende todo, lo que deberíamos de editar sería el apartado Definimos variables (obligatoria su edición). Allí mediante variables, haremos nuestro sistema más seguro, al estar el script más ajustado a nuestro sistema, que es precisamente de lo que se trata. No es difícil, como podrás ver en cada subapartado.
Y por otro, los modulos:
NOTA: Los modulos tienen nombre que empieza por 0 ó 1. Lo cual significa: 1 activa y 0 desactiva lo que lleve detrás.
Todos los modulos deben de ser modificados el apartado Definimos variables (obligatoria su edición). Estos son los modulos que tenemos hasta ahora disponibles, usando estos como plantilla puedes hacerte tú los que necesites.
1ftppas: Con él podremos hacer uso del ftp pasivo.
0ftppas:Y este es para quitar el ftppasivo, cuando no lo precisemos.
1smtp: Mediante el uso de este modulo podremos enviar correo.
0smtp: Se desactiva el poder enviar correos.
1root: Su uso permitirá el tráfico saliente que tenga privilegios de root. Que por defecto está activado.
0root: Si lo activamos bloquearemos el tráfico saliente con privilegios de root.
1keyserv: Gracias a este modulo podremos conectarnos al servidor de llaves hkp://subkeys.pgp.net--- ---**__0keyserv__**: Y este el antidoto para quitar el modulo anterior.
1privoxy: Con este modulo podremos usar el excelente programa privoxy para filtrar basurilla de la red.
0privoxy: Contra el otro modulo, usaremos este para no usar privoxy.
Sin olvidar el limpiador:
limpiador: Este archivo se encarga de quitar de la memoria del sistema el script madre, los modules de script (que tuviere), los modulos de iptables que se levantaron y dos archivos que se crearon en el directorio /etc, Ale1 y Ale2.
NOTA: Como es lógico le puedes cambiar el nombre a los scripts si así lo consideras, pero una cosa tienes que tener en cuenta, el dueño y grupo debe de ser root, y tendrán sólo permisos de lectura, escritura y ejecución por éste. Guardalos donde consideres oportunos y tienes que hacer que se ejecute el script madre durante la carga del sistema..
Tanto el script madre como los modulos, podras modificarlos a tu gusto, figurate alguien que envie correo constantemente pues igual le interesaría tener el modulo SMTP en el script madre por ejemplo.
Otra idea interesante que te puede ahorrar el copiar y pegar, es que donde hallas puesto para que se ejecute el script madre al arrancar el sistema pongas también que se ejecute el modulo que te interese, pero eso ya es personal cada cual lo haga según vea.
Todo el tráfico está limitado para que no salga tráfico con privilegios de root. Esto puede dar problemas con según que programas, pongamos el ejemplo de swaret, tendría que activar el modulo 1root, para usarlo y luego quitarlo con 0root.
El tema de los logs es algo tan personal, que sería importante cada cual lo modificara a su antojo yo he dejado por defecto que te logee solo las conexiones que bloquea el script.
En Logueador general están las lineas descomentadas, tanto de lo mismo, en las reglas que son permisivas, que podriamos tener constancia de que se han cumplido. La pega con tanto log, es que tendráimos unos logs grandísimos (aunque hay programas que se encargan de limitar esto) por eso me he curado en salud, y que cada cual lo adapte a sus necesidades, teniendo al menos un buen punto de partida.
La politica del script es todo cerrado, como se puede ver en el subapartado Establecemos política a seguir.
El script también levanta unos modulos de Iptables, que tienen que venir sobrados para nuestra pequeña conexión a internet. Aparte de algunas protecciones que he recopilado por la red. No está de más darle un vistazo al scripts y a los modulos para ver que es lo que contienen. Si tienes alguna sugerencia hazmelo saber...
NOTA: Y por supuesto no me hago responsable de ningún daño a tu equipo por usar este script, si lo usas que sea bajo tu responsabilidad; yo no soy ningún experto en redes, tan solo un aficionado que espóradicamente lee algo por ahí.
Puedes bajar el script madre y los modulos desde aquí: todo.tar.gz∞.
Valora este capítulo:
Autor y licencia de 'IPTables MODULAR RTB - IPTABLES MODULAR PARA MODEM 56k'
|
Opiniona sobre 'IPTables MODULAR RTB - IPTABLES MODULAR PARA MODEM 56k' (0)
Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.
Opina sobre este monografía |
Wikis relacionados con 'IPTables MODULAR RTB - IPTABLES MODULAR PARA MODEM 56k'
Este documento (el primero de tres) pretende presentar, a grandes rasgos, el funcionamiento de Netfilter...
Más »
En la edición anterior, se explicó las bases de Netfilter/IPTables. En esta segunda entrega, se...
Más »
Es uno de los mejores cortafuegos disponibles, incluyendo soluciones comerciales, y desde luego, la mejor...
Más »
En este manual se muestran las habituales arquitecturas de redes con firewall y la forma...
Más »
Esta guía rápida explica cómo instalar y configurar Iptables con soporte H323. Se basa en...
Más »
