Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 shorewall+bloquear p2p
Tema anterior Tema siguiente
   
lord_carcas
Publicado en 26/02/09 04:02 (Leído 5862 veces)  

Participa poco
working
Forum User

Inscrito: 06/06/08 Publicaciones: 26
Hola a todos

bueno expongo mi caso tengo un problema tengo configurado un servidor de la siguiente manera
internet(200.200.200.200)----eth0--pc(10.0.0.1)---eth1-----switch-----lan(10.0.0.0/24)
pc tiene un named(bind 9),squid(3.0STABLE10),dhcp(ISC),firewall(shorewall) todo me funciona bien lo unico que quiero es cerrar todos los puerto y abrir lo necesario porque?
bueno porque no quiero descargas p2p pero si quiero que mi red local tengo abierto los puertos siguientes 80,25,110, https, el skype ok coloco mis config del shorewall las mas importante como son policy y rules
******policy*************
#RED local
loc $FW ACCEPT
loc net ACCEPT
loc all REJECT
#RED del firewall
$FW net ACCEPT
$FW loc REJECT info
$FW all REJECT info
#RED internet
net loc DROP info
net $FW DROP info
net all DROP info
# The FOLLOWING POLICY MUST BE LAST
all all REJECT info

**********rules*******************
#reglas de internet al firewall
SSH/ACCEPT net:200.12.12.12 $FW
Ping/REJECT net $FW
ACCEPT $FW net icmp
ACCEPT $FW loc icmp
#reglas de la redlocal al firewall
Edonkey/REJECT loc $FW
Edonkey/REJECT loc net
BitTorrent/REJECT loc $FW
BitTorrent/REJECT loc net
REJECT loc $FW tcp 5050,1863
REJECT loc net tcp 5050,1863
Ping/ACCEPT loc $FW
SSH/ACCEPT loc:10.0.0.10 $FW
ACCEPT loc $FW udp 67,68
DNS/ACCEPT loc $FW
REDIRECT loc 3128 tcp www

la pregunta como hago para bloquear todos los puertos en shorewall y luego solo abrir la navegacion, recibir correos, enviar correos navegar por paginas https y usar solo skype en mi red local miren que he hecho varias pruebas y lo unico que pudo cerrar todo y solo dejarme nevegando pero sin skype y sin poder enviar y recibir correo fue en policy poner "loc net REJECT" eso pero repito NO me dejo usar el skype ni enviar y recibir correo.y supongo que navegaba por que tengo un proxy transparente

como seria alguna idea que me podrian brindar

gracias

juan




 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 26/02/09 06:36  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1724
País:Mexico
Tu error estuvo en esta esta política:
PHP Formatted Code

loc    net    ACCEPT
 

Eso hace que tu red local carezca de restricciones. Es más fácil mejor cerrarlo todo e ir abriendo según lo servicios que necesitas. En policy configura solo esto:
PHP Formatted Code

fw     all    ACCEPT
all    all    REJECT    info
net    all    DROP      info
 

El el archivo de rules:
PHP Formatted Code

ACCEPT     loc      net       tcp        20,21,22,25,43,53,63
ACCEPT     loc      net       tcp        110,123,143,443,465
ACCEPT     loc      net       tcp        587,993,995
ACCEPT     loc      net       udp        43,53,63,123
REDIRECT   loc      8080      tcp        80,8080
ACCEPT     loc      fw        tcp        20,21,22,53,67,68,80,10000
ACCEPT     loc      fw        udp        53,67,68
 

Con lo anterior, tienes salida a Internet con servicios estándar, SIN P2P NI SIMILARES y permitiendo acceso desde la red local al servidor para administrar vía SSH o Webmin, además del puerto 80, los de FTP, DHCP y DNS.
 
Perfil Sitio Web
 Citar
lord_carcas
Publicado en 04/03/09 02:49  

Participa poco
Forum User

Inscrito: 06/06/08 Publicaciones: 26
gracias funciona a la perfeccion y si es cierto ya vi mi error
gracias nuevamente


juan
 
Perfil
 Citar
Contenido generado en: 0,34 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 12:35 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado