Regresar a la página www.ComoCrearTuWeb.com
Resultados 1 al 9 de 9

Tema: problema con iptables

  1. #1
    Me va gustando esto... Habitante
    Fecha de Ingreso
    17 jun, 12
    Ubicación
    OYON
    Mensajes
    117
    Poder de Reputación
    8

    problema con iptables

    Buenas a todos.

    Paso a relatar el problema.

    Tengo un VPS contratado en arsys, el cual viene con la distro Centos6.5 pero esta un poco modificada por ellos.

    El caso es que quiero configurar el firewall con iptables de forma que permita entrar aquellas peticiones que han sido iniciadas desde el servidor.

    La orden que he encontrado para dicho fin es la siguiente

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    Y en otros servidores que he tenido (no en arsys) funciona de maravilla, el problema viene a que en la distro que arsys proporciona no viene el modulo xt_state en el kernel y me gustaría saber si conoceis alguna solución que me permita realizar los mismo que el comando arriba mencionado.

    Gracias a todos y espero haberme explicado con claridad.

  2. #2
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    02 may, 11
    Ubicación
    Santiago, Chile
    Mensajes
    2,047
    Poder de Reputación
    21
    Hola!

    ¿Solucionaste el problema?

    Según lo que he leído, puede que hayan actualizado el kernel y ya no utilicen iptablas, sino nftables, aunque no sé cómo funciona esta comando.

    También podrías intentar instalar el módulo con insmod.

    Lo que yo haría, si quieres una solución rápida, es contactar al soporte técnico (si tienes un VPS, deberías tener soporte) o al foro, que seguro sabrán más que nosotros :).

  3. #3
    Me va gustando esto... Habitante
    Fecha de Ingreso
    17 jun, 12
    Ubicación
    OYON
    Mensajes
    117
    Poder de Reputación
    8
    La verdad que todabia no he conseguido darle solución y el problema que el vps aunq si tiene soporte, en caso de tener q intervenir te cobran (en ARSYS 30 cada 15min).
    De todas formas la distribución no es la base que te puedes descargar desde el sitio oficial sino que esta modificado por ellos.

    De todas formas gracias por responder estoy intentando resolver el problema si consigo algo lo publico aquí por si alguien tiene el mismo problema.

  4. #4
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    Quizas podrias usar reglas que involucren las IPs, las posibles soluciones podrian variar dependiendo de que tipo e conexion se realice, si las conexiones son entre servidores que administras puedes agregar reglas para permitir las conexiones a ese servidor.

    Insalar un modulo en un VPS es practicamente imposible, quizas si comentaras un poco mas a fondo que tipo de conexiones quieres permitir podriamos darnos una mejor idea y una posible solucion, porque el hecho de hacer conexiones para mi queda implicito que cualquier conexion esto incluce cualquier puerto de origen, cualquier puerto de destino y a cualquier IP.

  5. #5
    Me va gustando esto... Habitante
    Fecha de Ingreso
    17 jun, 12
    Ubicación
    OYON
    Mensajes
    117
    Poder de Reputación
    8
    La configuración que quiero obtener es que permita la entrada (input) de todas las conexiones inicializadas desde el propio servidor, ya sea un ping una consulta dns o cualquier otro tipo de conexion desde dentro de la maquina hacia afuera.

    Actualmente tengo las politicas por defecto OUTPUT,FORWARD en accept
    Y INPUT drop.

    Permitiendo solamente acceso a los puertos necesarios como son el ssh 22 y el 80 http, así como el 3306 mysql desde la ip de mi casa.

    Las reglas que tengo puestas funcionan pero si intento hacer un ping desde la maquina al exterior no es capaz de realizar la resolución dns, o si quiero instalar algun paquete utilizando el yum.

    Espero haberme expresado con claridad.

    Gracias a los 2 por el interes :D

  6. #6
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    bueno en mi experiencia con iptables mi logica para abrir puertos y dotar de conectividad al servidor es la siguiente:
    1) Borrar cualquier regla que exista por defecto
    iptables -F
    iptables -X
    iptables -Z

    2) Por defecto aceptar TODO
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT

    3) Abrir los puertos de escucha del servidor, habilitar los servicios que tendra (DNS,FTP,HTTP,SSH,MYSQL,SMTP,POP, etc).
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 53 -j ACCEPT

    4) Cerrar Todos los puertos hasta un rango aceptable
    iptables -A INPUT -p tcp --dport 1:10240 -j DROP
    iptables -A INPUT -p udp --dport 1:10240 -j DROP

    Por lo que mencionas lo unico que te falta es que se pueda resolver los nombres de dominio, para eso deberias abrirl el puerto de DNS que es el 53, deberias probar a abrir este puerto ver si funciona, para conexion remotas a MYSQL por lo regular utilizo una VPN para evitar abrir el puerto de MySQL de frente a Internet y solo se abre a la Red Interna que se crea al utilizar una VPN, ademas esto permitiria conectar otros servidores entre si, si fuera necesario.

    Otra recomendacion de seguridad es que cambies el Puerto por defecto de SSH ya que es uno de los puertos que mas sufren ataques para intentar tener las credenciales de algun usuario.

  7. #7
    Me va gustando esto... Habitante
    Fecha de Ingreso
    17 jun, 12
    Ubicación
    OYON
    Mensajes
    117
    Poder de Reputación
    8
    sigo teniendo el mismo problema y no se como solventarlo la verdad.

    Seguire probando haber si me sale alguna solución.

  8. #8
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    Probaste deshabilitando iptables temporalmente y ver si deshabilitado si tienes conectividad, quizas el archivo /etc/resolv.conf no tenga registrado un DNS adecuado, si con iptables deshabilitado sigues teniendo el mismo problema entonces es un problema no relacionado con iptables.

  9. #9
    Me va gustando esto... Habitante
    Fecha de Ingreso
    17 jun, 12
    Ubicación
    OYON
    Mensajes
    117
    Poder de Reputación
    8
    si desactivando iptables funciona todo perfecto.

    Digamos que teniendo iptables activado el servidor habre la petición pero en el INPUT (que sera un puerto aleatorio habierto por el servidor) lo deniego con DROP y no tengo resolución DNS.

    Si supieses alguna instrucción aparte del modulo state para saber eso me vendria muy bien, de todas formas gracias aunque me está costanto un poco ( he tratado de recompilar el núcleo de linux pero el archivo descargado desde la web official en el vps de ARSYS no me funciona me da incompatibilidades con LILO cuando el official esta usando GRUB2).
    Última edición por Endika; 27/11/2014 a las 00:52

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •