sábado, 3 de febrero de 2007

Configurando el firewal ipchains con webmin

Configurando el firewall ipchains con webmin:

  1. Nos aseguramos de que ipchains está instalado con "sudo apt-get install ipchains"
  2. Accedemos a la dirección del webmin a través de un navegador, p.ej. https://servidor:10000/
  3. Vamos a red -> cortafuegos linux
  4. Elegimos "bloquear trafico de red en la interfaz externa" y "habilitar firewall al arrancar" y pulsamos "configurar firewall"
  5. Denegar conexiones entrantes por defecto: En la sección "paquetes entrantes" pulsamos "añadir", que nos lleva a pantalla "Añadir regla" de "paquetes entrantes"
    1. En "Rule comment" ponemos "Por defecto"
    2. En "Acción a ejecutar" elegimos "denegar"
    3. Pulsamos el botón "Crear"
  6. Para abrir puertos (por ejemplo para el webmin), hay que añadir otra regla en "paquetes entrantes"
    1. En "Rule comment" ponemos un comentario (p.ej. "webmin")
    2. En "Acción a ejecutar" elegimos "aceptar"
    3. En "Protocolo red" elegimos "igual a" y el protocolo del servicio a admitir (en este caso "TCP")
    4. En "Puerto TCP o UDP destino" elegimos "igual a" y escribimos el puerto de destino (en este caso 10000)
    5. Si queremos restringir el acceso a dicho puerto a una IP o subred determinada, en el campo "IP o red de origen" elegimos "igual a" y la IP o red (p.ej. 192.168.1.0/24)
    6. Pulsamos el botón "crear"
    7. Pulsando el icono de la flecha hacia arriba en la regla recién creada, la subimos por encima de creada anteriormente (denegar entrantes por defecto)
  7. Una vez hayamos terminado de configrar el cortafuegos, pulsamos el botón "aplicar configuración"
  8. Si queremos abrir puertos por linea de comandos, podemos usar: "/sbin/ipchains -A input -p $protocol --dport $port -s $localaddress -j ACCEPT" cambiando
    1. $protocol por el protocolo "tcp" o "udp"
    2. $port por el puerto de destino (o puertos), p.ej. 3306 para mysql, 80 para apache, 8080 para tomcat, ...
    3. $localaddress por la dirección IP (o subred), p.ej. 192.168.1.0/24
  9. Si queremos denegar conexiones entrantes a un puerto desde un interfaz determinado por linea de comandos, podemos usar "/sbin/ipchains -A input -p $protocol --dport $port -i $interfaz -j DENY" cambiando
    1. $protocol y $port como en el punto 8
    2. $interfaz por el interfaz a restringir (p.ej. eth0, wlan0, etc...)
Publicado por a las

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)