Mikrotik > Firewall & NAT

Evitar el Ataque a RaptorCache

(1/4) > >>

joemg6:
Evitar ataque a RaptorCacheSi no cerramos algunos puertos de acceso a Raptor, desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el servidor no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar ataques.


--- Código: ---/ip firewall filteradd action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcpadd action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp
Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

haroldbb24:
excelente regla y tambien contra los virus

JOtiniano:

--- Cita de: joemg6 en octubre 27, 2012, 12:56:14 am ---Evitar el Ataque al ThunderCacheSi no cerramos algunos puertos de acceso al Thundercache desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el thunder no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar el ataque al Thunder.


--- Código: ---/ip firewall filteradd action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcpadd action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp
Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

--- Fin de la cita ---
Estimado JOEMG,
Existe alguna regla para bloquear Spammer en la Red, te hago esta consulta por que tengo una IP Publica NAT y cada cierto tiempo se infecta y mi proveedor tiene que cambiarla.
Estuve averiguando y es verdad que aparece en las Listas de Spammer (http://www.dnsqueries.com/es/mi_ip_esta_en_lista_negra.php), por lo que me indica la Pagina en donde hago seguimiento a mi IP, me indican que es por Posibles Troyanos, Spammer o Proxy.
Espero puedas apoyarme con esto.
SL2.

gbarrerax:
Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

firecold:

--- Cita de: gbarrerax en abril 09, 2013, 09:53:26 pm ---Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

--- Fin de la cita ---

Amigo no has intentado un firewall con politicas drop, eso quiere decir que deniegas todo y solo permites lo que necesitas, te doy un ejemplo el cual uso en mi maquina:


--- Código: ---#!/bin/bash
############################################################
# VARIABLES DEL SCRIPT
############################################################
#Ruta del binario de iptables
IPTABLES=/sbin/iptables
#Interfaz conectada a internet
INTERNET="eth0"
#Interfaz conectada a nuestra LAN
LAN="eth1"
#Declarar la clase de la red local
CLASS=192.168.1.0/24
#Declarar el resto de la red
UNIVERSE=0.0.0.0/0
############################################################
# ELIMINACION DE REGLAS EXISTENTES
############################################################
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
############################################################
# ESTABLECEMOS POLITICAS POR DEFECTO (CERRADO)
############################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
############################################################
# COMIENZAN REGLAS DE FILTRADO
############################################################
#El localhost se deja acceso total
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT
#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT
#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
# WEB
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 82 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 84 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 443 -j ACCEPT
# PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 10000 -j ACCEPT
# IPP
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 631 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 135 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT
#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -i $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT
#PERMITIR PNGS DESDE INTERNET
$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT
#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $CLASS --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --dport 53 -j ACCEPT
# WEB
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 443 -j ACCEPT
# PROXY
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 10000 -j ACCEPT
# IPP
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 631 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 135 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT
#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
$IPTABLES -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN -d $CLASS -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                 #
#*************************************************************#
#*************************************************************#
#HABILITAR CONSULTA DNS
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT
#HABILITAR EL POP3
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT
#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
#PERMITIR EL USO DE MSN MESSENGER
$IPTABLES -A FORWARD -p tcp --dport 1863 -j ACCEPT
#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p tcp --dport 443 -j ACCEPT
#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s $CLASS -d $UNIVERSE -o $INTERNET -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
--- Fin del código ---

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

Ir a la versión completa