[Solar-tecnica] Re[2]: consulta iptables

• Mensaje anterior: [Solar-tecnica] Re[2]: consulta iptables
• Próximo mensaje: [Solar-tecnica] Re[2]: consulta iptables
• Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ricardo M. Morales wrote:
> Hola Ricardo:
> 
> El jueves, 23 de marzo de 2006 (13:20:43), usted escribió:
> 
> 
>>>iptables -L -n
> 
> 
> RFE> yo uso iptables -L -n -v
> 
> no entiendo mucho del tema, simplemente probé lo que me parecía
> podía servir de lo que iba encontrando :-)

No te justifiques!!! :D
Yo le agrego el -v para mayores datos.

man iptables:

       -v, --verbose
              Verbose output.  This option makes the list command show
the interface name, the rule  options  (if  any),
              and  the  TOS  masks.   The  packet and byte counters are
also listed, with the suffix 'K', 'M' or 'G' for
              1000, 1,000,000 and 1,000,000,000 multipliers respectively
(but see the -x  flag  to  change  this).   For
              appending,  insertion,  deletion and replacement, this
causes detailed information on the rule or rules to
              be printed.
>>>deberían figurar, pero ni figuran ni son accesibles ...
> RFE> Que significa "no figuran ni son accesibles"?
> loes puertos no figuran en la salida de iptables -L -n ni iptables -L -n -v
> y no son accesibles los puertos al intentar acceder desde afuera.-

A ver, iptables no te muestra "puertos". Te muestra las reglas que estan
definidas en tablas.

Para ver "puertos", existen otras herramientas. La estrella es netstat:

ricardo en taurus:~ $ sudo netstat -puta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address
State       PID/Program name
tcp        0      0 *:www                   *:*
LISTEN     7296/apache
tcp        0      0 *:3128                  *:*
LISTEN     443/(squid)
tcp        0      0 *:postgresql            *:*
LISTEN     7040/postmaster
tcp6       0      0 *:2222                  *:*
LISTEN     7220/sshd
tcp6       0      0 *:postgresql            *:*
LISTEN     7040/postmaster


Alli, entre otras cosas ves que puerto tienes activo y asociado a que
servicio.

Ahora, si queres saber el efecto "real" de tus reglas de iptables, tenes
que correr nmap desde afuera de la red, ejemplo:

ricardo en taurus:~ $ sudo nmap -sS solar.org.ar

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2006-03-23 14:06 ART
Interesting ports on 200-32-3-166.static.prima.net.ar (200.32.3.166):
(The 1645 ports scanned but not shown below are in state: filtered)
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
143/tcp  open  imap
199/tcp  open  smux
993/tcp  open  imaps
995/tcp  open  pop3s
3000/tcp open  ppp
3001/tcp open  nessusd
3306/tcp open  mysql
5100/tcp open  admd
5101/tcp open  admdog
5102/tcp open  admeng
8009/tcp open  ajp13
8080/tcp open  http-proxy

Nmap run completed -- 1 IP address (1 host up) scanned in 21.125 seconds

(Bueno, parece que al admin de solar el tema firewall no le preocupa
mucho....B| )
> 
> RFE> Ayudaria que nos copies el script que usas y la salida de iptables -L -n -v.
> lo hago a mano, hasta que logre que funcione, con los comandos que puse.-

Te saldran callos en la mano de probar!
Hacete un script para levantar, que limpie todo antes, y anda editandolo
para probar!

> las líneas que creo relevantes del iptables -L -n -v son del tipo:
> 
> 4   470 ACCEPT    tcp  --  *    eth0   0.0.0.0/0   0.0.0.0/0   tcp dpt:puerto
> 4   470 ACCEPT    udp  --  *    eth0   0.0.0.0/0   0.0.0.0/0   tcp dpt:puerto

A ver: ahi dice "aceptar todo lo que pase por la ifase eth0 de cualquier
lado a cualquier lado hacia 'puerto' protocolos tcp y udp". Ignoramos en
que tabla esta, porque por "seguridad" :) no lo pusiste.
Intuyo es INPUT...que politica por defecto le pusiste?



> 
> asi figura con los puertos habilitados relacionados a los que quiero agregar.-
> 
> como el servidor no es "mio", por ahí "tendría" que pedir permiso
> para poner la salida completa del iptables -L -n -v

Debieras haberte dado cuenta antes de consultar en una lista :)

Ahora hablando en serio, toqueteando los datos sensibles (si existen) no
comprometes a nada ni a nadie....no seas paranoico! O no podremos ayudar
mucho...

>>>¿qué puede estar fallando? gracias. saludos :-)
> RFE> No hay suficientes datos...
> veré si puedo poner la salida completa, ...
> RFE> PD: busca el proyecto shorewall.
> ok, estoy saliendo en un rato, si no alcanzo, reviso a la vuelta.-
> gracias. saludos :-)

suerte!

> 
> 
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Solar-tecnica mailing list
> Solar-tecnica en lists.ourproject.org
> http://lists.ourproject.org/cgi-bin/mailman/listinfo/solar-tecnica


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka en gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEItSHkw12RhFuGy4RAsbCAJ9uBxeBCFMyUtqhMYCmpfx0NlUYOQCfS8Xs
oF1tQNKU3odze/vSieQkc7A=
=OXP4
-----END PGP SIGNATURE-----

• Mensaje anterior: [Solar-tecnica] Re[2]: consulta iptables
• Próximo mensaje: [Solar-tecnica] Re[2]: consulta iptables
• Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]