[Solar-tecnica] Re[2]: consulta iptables
Ricardo Frydman Eureka!
ricardoeureka en gmail.com
Jue Mar 23 18:02:00 CET 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ricardo M. Morales wrote:
> Hola Ricardo:
>
> El jueves, 23 de marzo de 2006 (13:20:43), usted escribió:
>
>
>>>iptables -L -n
>
>
> RFE> yo uso iptables -L -n -v
>
> no entiendo mucho del tema, simplemente probé lo que me parecía
> podía servir de lo que iba encontrando :-)
No te justifiques!!! :D
Yo le agrego el -v para mayores datos.
man iptables:
-v, --verbose
Verbose output. This option makes the list command show
the interface name, the rule options (if any),
and the TOS masks. The packet and byte counters are
also listed, with the suffix 'K', 'M' or 'G' for
1000, 1,000,000 and 1,000,000,000 multipliers respectively
(but see the -x flag to change this). For
appending, insertion, deletion and replacement, this
causes detailed information on the rule or rules to
be printed.
>>>deberían figurar, pero ni figuran ni son accesibles ...
> RFE> Que significa "no figuran ni son accesibles"?
> loes puertos no figuran en la salida de iptables -L -n ni iptables -L -n -v
> y no son accesibles los puertos al intentar acceder desde afuera.-
A ver, iptables no te muestra "puertos". Te muestra las reglas que estan
definidas en tablas.
Para ver "puertos", existen otras herramientas. La estrella es netstat:
ricardo en taurus:~ $ sudo netstat -puta
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 *:www *:*
LISTEN 7296/apache
tcp 0 0 *:3128 *:*
LISTEN 443/(squid)
tcp 0 0 *:postgresql *:*
LISTEN 7040/postmaster
tcp6 0 0 *:2222 *:*
LISTEN 7220/sshd
tcp6 0 0 *:postgresql *:*
LISTEN 7040/postmaster
Alli, entre otras cosas ves que puerto tienes activo y asociado a que
servicio.
Ahora, si queres saber el efecto "real" de tus reglas de iptables, tenes
que correr nmap desde afuera de la red, ejemplo:
ricardo en taurus:~ $ sudo nmap -sS solar.org.ar
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2006-03-23 14:06 ART
Interesting ports on 200-32-3-166.static.prima.net.ar (200.32.3.166):
(The 1645 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
199/tcp open smux
993/tcp open imaps
995/tcp open pop3s
3000/tcp open ppp
3001/tcp open nessusd
3306/tcp open mysql
5100/tcp open admd
5101/tcp open admdog
5102/tcp open admeng
8009/tcp open ajp13
8080/tcp open http-proxy
Nmap run completed -- 1 IP address (1 host up) scanned in 21.125 seconds
(Bueno, parece que al admin de solar el tema firewall no le preocupa
mucho....B| )
>
> RFE> Ayudaria que nos copies el script que usas y la salida de iptables -L -n -v.
> lo hago a mano, hasta que logre que funcione, con los comandos que puse.-
Te saldran callos en la mano de probar!
Hacete un script para levantar, que limpie todo antes, y anda editandolo
para probar!
> las líneas que creo relevantes del iptables -L -n -v son del tipo:
>
> 4 470 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:puerto
> 4 470 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:puerto
A ver: ahi dice "aceptar todo lo que pase por la ifase eth0 de cualquier
lado a cualquier lado hacia 'puerto' protocolos tcp y udp". Ignoramos en
que tabla esta, porque por "seguridad" :) no lo pusiste.
Intuyo es INPUT...que politica por defecto le pusiste?
>
> asi figura con los puertos habilitados relacionados a los que quiero agregar.-
>
> como el servidor no es "mio", por ahí "tendría" que pedir permiso
> para poner la salida completa del iptables -L -n -v
Debieras haberte dado cuenta antes de consultar en una lista :)
Ahora hablando en serio, toqueteando los datos sensibles (si existen) no
comprometes a nada ni a nadie....no seas paranoico! O no podremos ayudar
mucho...
>>>¿qué puede estar fallando? gracias. saludos :-)
> RFE> No hay suficientes datos...
> veré si puedo poner la salida completa, ...
> RFE> PD: busca el proyecto shorewall.
> ok, estoy saliendo en un rato, si no alcanzo, reviso a la vuelta.-
> gracias. saludos :-)
suerte!
>
>
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Solar-tecnica mailing list
> Solar-tecnica en lists.ourproject.org
> http://lists.ourproject.org/cgi-bin/mailman/listinfo/solar-tecnica
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka en gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFEItSHkw12RhFuGy4RAsbCAJ9uBxeBCFMyUtqhMYCmpfx0NlUYOQCfS8Xs
oF1tQNKU3odze/vSieQkc7A=
=OXP4
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Solar-tecnica