Foros del Web » Administración de Sistemas » Unix / Linux »

Revisión de la seguridad de la configuración de mi IPTABLES

Estas en el tema de Revisión de la seguridad de la configuración de mi IPTABLES en el foro de Unix / Linux en Foros del Web. Tengo una PC dedicada a Proxy/Gateway de una red LAN pequeña. Funciona con Debian 6. La configuración de las interfaces de red es la siguiente: ...
  #1 (permalink)  
Antiguo 18/06/2017, 15:27
 
Fecha de Ingreso: octubre-2007
Mensajes: 240
Antigüedad: 9 años, 8 meses
Puntos: 3
Revisión de la seguridad de la configuración de mi IPTABLES

Tengo una PC dedicada a Proxy/Gateway de una red LAN pequeña. Funciona con Debian 6. La configuración de las interfaces de red es la siguiente:

LAN ------------- eth0 (192.168.0.1) |___| eth1 (192.168.1.2) --------- (192.168.1.1)ADSL

EN esa PC corre el servicio SQUID3 por el Puerto 8080 para los clientes de la LAN.

Los clientes de la LAN pueden acceder a un servidor JABBER fuera de la red en la dirección IP 2XX.XXX.XXX.XXX que escucha en el puerto 5222.

Actualmente estas son las reglas del iptables:
Código BASH:
Ver original
  1. *filter
  2. :FORWARD DROP [0:0]
  3. :INPUT DROP [0:0]
  4. :OUTPUT ACCEPT [0:0]
  5. -A INPUT -j LOG --log-prefix "iptables"
  6. #-A OUTPUT -j LOG --log-prefix "iptables"
  7. -A FORWARD -j LOG --log-prefix "iptables"
  8. # Accept traffic from internal interfaces
  9. -A INPUT ! -i eth0 -j ACCEPT
  10. # Accept traffic with the ACK flag set
  11. -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
  12. # Allow incoming data that is part of a connection we established
  13. -A INPUT -m state --state ESTABLISHED -j ACCEPT
  14. # Allow data that is related to existing connections
  15. -A INPUT -m state --state RELATED -j ACCEPT
  16. # Accept responses to DNS queries
  17. -A INPUT -p udp -m udp -i eth0 --dport 1024:65535 --sport 53 -j ACCEPT
  18. # REJECT ACCESS TO 192.168.1.0/24 FROM eth0
  19. -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -j DROP
  20. # REJECT responses to our ping
  21. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type echo-reply -j DROP
  22. # Accept notifications of unreachable hosts
  23. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type destination-unreachable -j DROP
  24. # Accept notifications to reduce sending speed
  25. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type source-quench -j DROP
  26. # Accept notifications of lost packets
  27. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type time-exceeded -j DROP
  28. # Accept notifications of protocol problems
  29. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type parameter-problem -j DROP
  30. # Allow connections to our IDENT server  
  31. ##-A INPUT -p tcp -m tcp -i eth0 --dport auth -j ACCEPT
  32. # DROP Respond to pings
  33. -A INPUT -p icmp -m icmp ! -i eth0 --icmp-type echo-request -j DROP
  34. # Allow connections to our SQUID server
  35. -A INPUT -p tcp -m tcp -i eth0 --dport 8080 -j ACCEPT
  36. #JABBER
  37. -A INPUT -p tcp -m tcp -i eth0 --dport 5222 -j ACCEPT
  38. # Por si acaso
  39. -A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -j DROP
  40. -A INPUT -p tcp -m tcp -i eth1 --dport 8080 -j DROP
  41. -A INPUT -p tcp -m tcp -i eth0 -j DROP
  42. COMMIT
  43. *mangle
  44. :PREROUTING ACCEPT [0:0]
  45. :INPUT ACCEPT [0:0]
  46. :FORWARD ACCEPT [0:0]
  47. :OUTPUT ACCEPT [0:0]
  48. :POSTROUTING ACCEPT [0:0]
  49. COMMIT
  50. *nat
  51. :PREROUTING ACCEPT [0:0]
  52. :POSTROUTING ACCEPT [0:0]
  53. :OUTPUT ACCEPT [0:0]
  54. COMMIT

Las reglas del firewall se cargan durante el post-up de eth0.

La redirección al JABBER la hago con XINETD:
Código BASH:
Ver original
  1. service jabber
  2. {
  3.     port = 5222
  4.     socket_type = stream
  5.     protocol = tcp
  6.     bind = eth0
  7.     redirect = 2XX.XXX.XXX.XXX 5222
  8.     type = UNLISTED
  9.     wait = no
  10.     disable = no
  11.     access_time = 07:00-17:00
  12.     per_source = 1
  13.     log_type = SYSLOG daemon info
  14.     log_on_failure = HOST
  15.     log_on_success = HOST DURATION EXIT
  16. }

Cualquier otro servicio deberá estar denegado solo se permitirá navegación web, el proxy deberá encargarse de todas las peticiones, es decir no hace falta que pasen peticiones DNS, ni de otro tipo a la red externa.

Quisiera saber si la redirección del servicio JABBER se puede hacer con el mismo IPTABLES y mejorar las reglas del firewall. No se cuán bien configurado esté.

Última edición por X_fran; 18/06/2017 a las 15:35



La zona horaria es GMT -6. Ahora son las 04:26.