Linux-OS

FTP y TFTP son protocolos bastante especiales en su forma de trabajo, ya que si bien tienen puertos definidos para establecer sesiones, las transferencias de datos no se hacen siempre por puertos definidos (Conexiones Pasivas).

Cuando se implementa un NAT es muy posible que protocolos como TFTP no funcionen bien, pero siempre hay una solución, Linux como kernel es bastante inteligente como para trabajar y permitir que clientes FTP y TFTP se conecten a servidores nateados a través de él. ¿Como? Cargando los módulos necesarios.

En Debian existe una herramienta bastante útil llamada modconf, la cual muestra, carga y configura el inicio automático de los módulos que necesitemos.

Buscamos /kernel/net/ipv4/netfilter, para cargar los siguientes modulos:

# ip_conntrack_tftp
# ip_conntrack_ftp
# ip_nat_ftp
# ip_nat_tftp

Con eso debería bastar para que esos protocolos sean funcionales trás el NAT Linux.

Vía: http://mcbrain.powers.cl/?p=390

Aquí otro enlace de este buen sitio que muestra un script de Iptables con algunos tips para asegurar una red interna.

Otros artículos relacionados al uso de Iptables aquí, aquí, y aquí.

:wq!

Les dejo un enlace a un artículo muy interesante donde se explica como manejar “listas” en iptables.

El sitio es muy interesante por lo que les recomendo lo visiten!

Breve ejemplo:

#!/bin/sh
# Creacion de variables
IPTABLES=/sbin/iptables
LISTA_BLANCA=/usr/local/lista_blanca
LISTA_NEGRA=/usr/local/lista_negra
PUERTOS="80 443 22 25 110"
# Borrar cualquier politica existente
$IPTABLES -f
# LISTA BLANCA
for HOST in `grep -v ^# $LISTA_BLANCA | awk '{print $1}'`; do
$IPTABLES -A INPUT -t filter -s $HOST -j ACCEPT
done
#LISTA NEGRA
for HOST in `grep -v ^# $LISTA_NEGRA | awk '{print $1}'`; do
$IPTABLES -A INPUT -t filter -s $HOST -j DROP
done
# PUERTOS A LOS QUE SE CONECTAN LOS
for PUERTO in $PUERTOS; do
$IPTABLES -A INPUT -t filter -p tcp --dport $PUERTO -j ACCEPT
done;
#Se bloquean intentos de conexión de otros protocolos.
$IPTABLES -A INPUT -t filter -p tcp --syn -j DROP

:wq!

Les dejo algunos artículos relacionados a iptables aquí, aquí, aquí, aquí, aquí, aquí, aquí, aquí y aquí.

:wq!

El servicio MSN, a nivel laboral, es el primer dolor de cabeza en las Instituciones y Empresas, tanto para el Jefe, como el Administrador de la Red. Tradicionalmente se utiliza (bajo Software Libre) una combinación de iptables+squid para bloquearlo, lo cual el computador tiene que procesar el bloqueo del puerto 1863 (en iptables) más el application/x-msn-messenger en Squid. Pero según Nelson e Jordão un Analista de Sistemas de Brasil, todo se puede resolver con sólo una línea de código en el cortafuegos.

Lea el resto »

Este libro guía a los usuarios particulares y de pequeños negocios en los pasos básicos que deben seguir para diseñar e implementar un firewall de filtrado de paquetes. Sin embargo, un firewall es solo un paso para crear un sistema seguro. También son necesarias las medidas de seguridad de alto nivel…

Lea el resto »

El servicio MSN, a nivel laboral, es el primer dolor de cabeza en las Instituciones y Empresas, tanto para el Jefe, como el Administrador de la Red. Tradicionalmente se utiliza (bajo Software Libre) una combinación de iptables+squid para bloquearlo, lo cual el computador tiene que procesar el bloqueo del puerto 1863 (en iptables) más el application/x-msn-messenger en Squid. Pero según Nelson e Jordão un Analista de Sistemas de Brasil, todo se puede resolver con sólo una línea de código en el cortafuegos.

Lea el resto »