OVH Community, your new community space.

Llamo a puerto x pero Mac ! = BLOCK ( REGLAS IPTABLES )


oceano
25/09/2012, 14:11
Hola,

Si, muchas gracias. Espero pueda ayudar en algún momento donde fuera necesario.


Un saludo !

Power
25/09/2012, 12:19
Hola oceano,

Me alegro de que te funcione.
Una herramienta más que tenemos para cuando la necesitemos.
Gracias.

Saludos

oceano
25/09/2012, 11:49
Buenos días.

Confirmado, funciona como debe.



Saludos a todos y gracias !


* Antes de aplicar cualquier cambio a Iptables, observar bien el puerto que se restringe el acceso. Podéis quedaros vosotros mismos sin acceso al servidor. Yo durante las pruebas realizadas he dejado abierta consola de comandos, puerto SSH, y he testeado con otros puertos hasta que he verificado que su funcionamiento era el esperado y correcto.

oceano
25/09/2012, 02:59
Cita Publicado inicialmente por Power
Hola,

Mira la solución propuesta en http://www.hackplayers.com/2011/06/u...dinamicas.html

Ingenioso ¿verdad?

Saludos
Hola Power,

La verdad tiene bastante buena pinta, sería cuestión de probarlo...

Por otra parte, para una dirección Ip fija sería así:

iptables -A INPUT -s ! 123.123.123.123 -p tcp --dport 80 -j BLOCKDROP

* -A INPUT - > Para el tráfico entrante
* -s ! 123.123.123.123 - > Distinto de esta dirección ip
* -p tcp - > En este protocolo
* --dport 80 - > Para este puerto en concreto
* -j BLOCKDROP - > Bloquear y Eliminar

Probado y testeado, dejando consola de comandos abierta por si daba error, para ese mismo puerto indicado arriba y otro más. Si mañana vuelvo a probarlo habiendo cerrado el sistema por completo e iniciado desde 0 el proceso para entrar y no da fallo, aplicaré para el puerto SSH también.

Muchas gracias !

Un saludo.

Power
24/09/2012, 23:02
Hola,

Mira la solución propuesta en http://www.hackplayers.com/2011/06/u...dinamicas.html

Ingenioso ¿verdad?

Saludos

Power
24/09/2012, 23:01
Hola,

Efectivamente, habría que bloquear todo lo que llegue a esos puertos, salvo lo que provenga de una IP.

El problema es que, si se tiene IP dinámica, no se podría hacer así.

Un truco podría ser un script que se lanza regularmente, mediante un cronjob.
Comprueba qué IPs tienen determinados host de DynDNS.
Y sustituye esas IPs en el fichero csfpost.sh
¿Qué tal esa solución?

Saludos

oceano
24/09/2012, 22:54
Cita Publicado inicialmente por Power
Hola oceano,

Eso sirve para conexiones dentro de la misma red (donde se trajina con las MACs a través de protocolos ARP)

Pero en las peticiones de conexión desde Internet, en los datagramas, llegan las IPs de los remitentes, pero no sus MACs.

En cuanto el tráfico circule a través de un router, perdemos la información de las MACs.

Saludos

Bueno, entonces es sencillo. Sólo hay que buscar el método para conseguir que se bloquee directamente por dirección IP o mejor dicho, todo lo que llame a dicho puerto que sea distinto de una IP en concreto, al cajón.

Investigaré, te mantendré informado !


Un saludo !

Power
24/09/2012, 22:49
Hola oceano,

Eso sirve para conexiones dentro de la misma red (donde se trajina con las MACs a través de protocolos ARP)

Pero en las peticiones de conexión desde Internet, en los datagramas, llegan las IPs de los remitentes, pero no sus MACs.

En cuanto el tráfico circule a través de un router, perdemos la información de las MACs.

Saludos

oceano
24/09/2012, 20:00
Hola,

#Se entiende que tenemos instalado CSF & LFD

Espero le pueda ser util a alguien, por lo menos yo considero que es muy buena idea filtrar directamente en algunos determinados puertos que no van a tener acceso a internet directamente para ningún servicio que para nuestro propio acceso y administración. He filtrado por 2 direcciones MAC propias, nunca se sabe si mañana cuando despierte una de ellas dice que se ha cansado de trabajar y no quiere saber nada más de internet...

# Toda llamada realizada desde internet al puerto 01234 / 56789 distinto de la dirección MAC 11:22:33:44:55:66 / 77:22:99:44:22:77 será bloqueda y eliminada secuencialmente.
# abajo MAC -1
iptables -A INPUT -p tcp --destination-port 12345 -m mac ! --mac-source 11:22:33:44:55:66 -j BLOCKDROP
# abajo MAC - 2
iptables -A INPUT -p udp --destination-port 56789 -m mac ! --mac-source 77:22:99:44:22:77 -j BLOCKDROP

#Para que estas reglas no se pierdan en cada posible reincio/modificación de Iptables ya que es ejecutado en una cierta RAM o eso creo. (Se admiten críticas)
Meto en este archivo todo lo que quiero que se ejecute al instante del reinicio de Iptables. El archivo hay que crearlo en ~#/etc/csf para ello, ~# vi csfpost.sh y dentro metemos las reglas.
Esc + :x Salimos y guardamos

OJO AL DATO !!! Si por casualidad se os cuela un Esc + : X ( Masyuscula ) dos veces intro, porque sino se pone contraseña al archivo y cuando se compilan de nuevo las reglas, CSF se vuelve loco y por lo menos a mi, no me ha permitido el acceso posterior al archivo.

Ahora ejecutamos / recompilamos las reglas
~# csf -sf

Comprobamos / Verificamos que son correctas las reglas de entrada:
~# iptables -L INPUT -n -v

Comrpobamos / Verficamos que son correctas las reglas de salida:
~# iptables -L OUTPUT -n -v


Muchas gracias !

Un saludo.