Página 1 de 2
iptables
Publicado: Lun, 09 Sep 2013, 14:41
por jmrojas_79
como bloquear dominios usando IPTABLES
Re: iptables
Publicado: Lun, 09 Sep 2013, 16:39
por hugo
Tienes (creo) dos alternativas: usando la coincidencia string (cadena de texto), o resolviendo las direcciones ip.
Te explico: el problema es que por defecto iptables trabaja con direcciones ip, y algunos dominios tienen múltiples direcciones ip, por lo que tendrias que hacer consultas y apuntar todas las direcciones ip para luego hacer las reglas con estas
O bien podrias intentar con algo como esto (que usa la coincidencia string):
Código: Seleccionar todo
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m string --algo kmp --string "Host: eldominio.com" -j DROP
Un inconveniente de este ultimo método es que las direcciones IP del dominio pueden estar cacheadas en el DNS local, y en ese caso me parece que la regla no funcionará.
Una pregunta: por que necesitas hacer algo como esto? Porque dependiendo de tus necesidades, bien podrías usar un proxy transparente.
Re: iptables
Publicado: Mar, 10 Sep 2013, 10:49
por jmrojas_79
Mira, yo tengo montado psad, el se encarga de bloquear ip y dominios que hagan al menos un scaner de puertos en la red, pero tengo algunos dominios con varias ip. que aunque están ya en la lista negra del pesad, continúan llegandome los reportes del psad de que esos dominios siguen haciendo scaner te pongo algunos ej: lo que quiero es bloquearlos definitivamente y si pudo hacerlo con firehol o iptables.
=-=-=-=-=-=-=-=-=-=-=-= Tue Sep 10 09:24:10 2013 =-=-=-=-=-=-=-=-=-=-=-=
Danger level: [5] (out of 5)
icmp packets: [1]
iptables chain: INPUT (prefix "''IN-world':'"), 1 packets
Source: 203.178.148.19
DNS: pinger-j2.ant.isi.edu
Destination: IP-WAN
DNS: mi-dominio
Overall scan start: Wed Sep 4 20:53:20 2013
Total email alerts: 23
Syslog hostname: paz
Global stats: chain: interface: TCP: UDP: ICMP:
INPUT eth0 0 0 23
[+] ICMP scan signatures:
"ICMP PING"
sid: 384
chain: INPUT
packets: 1
classtype: misc-activity
"ICMP PING Sun Solaris"
sid: 381
chain: INPUT
packets: 1
classtype: misc-activity
=-=-=-=-=-=-=-=-=-=-=-= Mon Sep 9 23:37:46 2013 =-=-=-=-=-=-=-=-=-=-=-=
Danger level: [5] (out of 5)
icmp packets: [1]
iptables chain: INPUT (prefix "''IN-world':'"), 1 packets
Source: 128.9.168.98
DNS: pinger-w3.ant.isi.edu
Destination: IP-WAN
DNS: mi-dominio
Overall scan start: Wed Sep 4 16:14:06 2013
Total email alerts: 28
Syslog hostname: paz
Global stats: chain: interface: TCP: UDP: ICMP:
INPUT eth0 0 0 28
[+] ICMP scan signatures:
"ICMP PING"
sid: 384
chain: INPUT
packets: 1
classtype: misc-activity
"ICMP PING Sun Solaris"
sid: 381
chain: INPUT
packets: 1
classtype: misc-activity
Re: iptables
Publicado: Mar, 10 Sep 2013, 15:19
por hugo
Para evitar escaneos por ICMP yo generalmente bloqueo las peticiones ICMP para cualquier cosa que no sea la red local, y habilito para las redes externas solo los tipos ICMP 0,3,11,12 (echo-reply, destination-unreachable, time-exceeded, parameter-problem).
De todas maneras, teniendo las direcciones IP, crear una regla para bloquearlas es muy fácil, el problema es que puede que haya paquetes auténticos provenientes de esas redes, por ejemplo si alguien de tu institución está navegando por ellas.
Re: iptables
Publicado: Mié, 11 Sep 2013, 08:34
por jmrojas_79
desde la red local es poco probable, pues no tenemos acceso a internet, solo pagamos nav nacional, ni acceso a google tenemos.. lo que voy a hacer es bloquear por completo las peticiones ICMP... para ver que pasa... gracias
Re: iptables
Publicado: Mié, 11 Sep 2013, 12:48
por hugo
Si no tienen acceso internacional, me parece muy raro que alguien del exterior pueda hacer un ICMP a sus servidores, pero en fin...
Re: iptables
Publicado: Mié, 11 Sep 2013, 16:49
por jmrojas_79
bueno, yo tengo 5 IP reales... si puede aconsejarme algun otro metodo de seguridad se lo agradesco
Re: iptables
Publicado: Vie, 13 Sep 2013, 06:37
por hugo
No se la configuración de iptables que tendrás, pero lo recomendable es utilizar denegación por defecto para la cadena INPUT. Asumiendo que tu interfaz externa sea eth0 y la interna eth1, algo mas o menos así suele servir:
Código: Seleccionar todo
iptables -A INPUT -i lo -m comment --comment "Permitir procesos locales" -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -m comment --comment "Permitir conexiones establecidas" -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -p udp --sport 53 -m comment -m limit --limit 32/sec --limit-burst 64 -m comment --coment "Permitir respuestas DNS (WAN)" -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -m comment -m limit --limit 32/sec --limit-burst 64 -m comment --comment "Permitir consultas DNS (WAN)" -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -m comment --comment "Permitir navegación desde WAN" -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 0,3,11,12 -m limit --limit 4/sec --limit-burst 8 -m comment --comment "Permitir respuestas ICMP" -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -m comment --comment "Permitir peticiones ping" -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 53 -m comment --comment "Permitir consultas DNS (LAN)" -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.5 -m mac --mac-source 0A:0B:0C:0D:0E:0F -p tcp --dport 22 -m conntrack --ctstate NEW -m limit --limit 2/min -m comment --comment "Permitir acceso SSH solo a la PC del informático" -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.0.5 -m mac --mac-source 0A:0B:0C:0D:0E:0F -p tcp --dport 22 -m conntrack --ctstate ESTABLISHED -m connlimit ! --connlimit-above 3 -m comment --comment "Permitir un máximo de 3 conexiones SSH simultáneas" -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 21,25,80,110,443,465,995,3128,8080 -m conntrack --ctstate NEW -m comment --comment "Permitir múltiples servicios desde LAN" -j ACCEPT
... [etcétera] ...
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Re: iptables
Publicado: Vie, 13 Sep 2013, 07:29
por jmrojas_79
yo uso firehol, que es basado en iptables, y lo tengo por defecto en drop...
interface any world
client all accept
# Red Wan Externa eth0
policy drop
protection strong
le preguntaba si además me recomienda alguna otra herramienta de administración.
gracias por su pronta atención a las dudas expuestas por mi...
Re: iptables
Publicado: Vie, 13 Sep 2013, 07:47
por hugo
No domino Firehol, pero mi impresión es que conseguir ciertas reglas específicas con el es mas engorroso, como limitar la cantidad de conexiones simultáneas desde una misma IP, etc. Yo para evitar el escaneo de puertos implementé una vez en iptables la coincidencia psd y parecía funcionar bastante bien, lo que por defecto no viene y hay que agregarla.
Herramientas hay muchas, por ejemplo a mi me gusta pfSense, pero necesita una PC dedicada o al menos una maquina virtual, lo cual no siempre es factible.