IPTables :: Filtrado para un servidor web

Smolky · #1 (**permalink**) 20/12/2010, 05:52

Hola. Me estoy introduciendo en el mundo de las IPTABLES pero no logro entender un poco el funcionamiento.

A grandes rasgos, tengo un servidor web dentro de una máquina virtual donde lo que he hecho es:

Órdenes por defecto

Para la cadena INPUT deniego todo
Para la cadena FORWARD deniego todo
Para la cadena OUTPUT lo permitod todo

Excepciones

Todo lo que entre por el puerto 80 lo acepto

Activando esto, no consigo acceder a mi servidor por un navegador. En cambio, cuando cambio la política de INPUT por la de permitir el tráfico sí que funciona. He mirado usando el tráfico de TCPDUMP pero no he conseguido saber que es lo que debo de permitir para que esto funcione.

¿Alguna idea? Muchas gracias

P. D: Por cierto, estoy utilizando Ubuntu Server (modo consola)

danielSu · #2 (**permalink**) 20/12/2010, 12:35

Sería bueno que coloques la regla que ingresaste para aceptar las conexiones TCP por el puerto 80 asi podemos verla y corregirla

ressett_182 · #3 (**permalink**) 20/12/2010, 15:23

Cita:

Iniciado por Smolky

Hola. Me estoy introduciendo en el mundo de las IPTABLES pero no logro entender un poco el funcionamiento.

Eso es Facil de solucionar .. Cambiate a PacketFilter .. ! XD

Enlace Interesante.. !

Saludos .. !

Smolky · #4 (**permalink**) 21/12/2010, 06:39

Hola. Ahora mismo no estoy en el servidor, pero os puedo decir las órdenes casi de memoria...

Código:

#!/bin/bash
# Vaciamos las reglas. Incluyendo reglas de usuario, estadísticas
# y de traducción de direcciones
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# Cortafuegos
# Políticas por defecto. Aceptamos sólo el tráfico
# de salida.
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP


# Permito solcitudes para el servidor web
iptables -A INPUT -p 80 -j ACCEPT

danielSu · #5 (**permalink**) 21/12/2010, 17:04

intenta con esta regla

iptables -t filter -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

Smolky · #6 (**permalink**) 23/12/2010, 06:35

Funciona perfectamente. Muchísimas gracias.

Smolky · #7 (**permalink**) 25/12/2010, 18:22

Hola. Perdonad que de el follón de nuevo pero hay una cosa que os gustaría preguntar relacionado con el mismo tema

Ahora mismo, el script de filtrado lo tengo como sigue:

Código:

#!/bin/bash
# Vaciamos las reglas. Incluyendo reglas de usuario, estadísticas
# y de traducción de direcciones
iptables -F
iptables -X
iptables -Z
iptables -t nat -F


# Cortafuegos
# Políticas por defecto. Aceptamos sólo el tráfico
# de salida.
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP


# Permiso solcitudes para el servidor
iptables -t filter -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT


# Seguridad
# No respondo a solicitud de ping fuera de mi red
iptables -A INPUT -p ICMP --icmp-type echo-request \! -s 192.168.2.0/24 -j DROP


# No IP Spoofing. Deniego paquetes internos con direcciones que 
# no pertenezcan a mi red, ni paquetes que quieran entrar
iptables -A INPUT -j DROP -i eth0 \! -s 192.168.1.0/24

Además, tengo otro script que permite desactivar el cortafuegos que hace lo siguiente:

Código:

#!/bin/bash
# Vaciamos las reglas. Incluyendo reglas de usuario, estadísticas
# y de traducción de direcciones
iptables -F
iptables -X
iptables -Z
iptables -t nat -F


# Cortafuegos
# Aceptamos sólo el tráfico
# de salida.
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT

El caso es que he notado que abrir una conexión nueva, ésta se demora bastante cuando tengo activado el cortafuegos (alrededor de 10 segundos) y no lo hace cuando lo tengo desactivado por el otro script.

¿Sabéis eso a qué se debe?

Gracias de nuevo

Smolky · #8 (**permalink**) 24/01/2011, 03:15

Bueno, investigando un poco he descubierto que si listo las cadenas con la opción -"n" tarda mucho menos ya que no hace la resolución inversa de nombres (según MAN)

Pero no termino de entender muy bien el porqué ocurre esto o si tengo mal configurada alguna opción de resolución de nombres, puesto que en las cadenas que he puesto nunca he usado un dominio.

Además, a la hora de abrir una conexión nueva, como por ejemplo al FTP noto un gran retardo inicial, que después, en las sucesivas operaciones, no hace hasta que vuelve a expirar el tiempo.