Regles IPtables
Hola!
Fa poc vaig instal·lar un PC amb Debian la missio del
qual es fer de servidor. Em vaig llegir el tutorial
aquell famos que esta a tot arreu (ara no en recordo
el nom) i al final vaig acabar escrivint aixo:
(suposo que alguna linia quedara tallada)
---CUT---
# per salvar-lo update-rc.d firewall.sh defaults
echo 1 > /proc/sys/net/ipv4/ip_forward
# Politica por defecto para cada tipo de paquetes,
INPUT, OUTPUT y FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Direcciones que no pasan por falsas
iptables -t nat -A PREROUTING -i eth0 -s
192.168.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j
DROP
iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12
-j DROP
# TABLE INPUT
#
# 0. Normas generales a todos los paquetes
# a) Aceptamos todo lo que entra y haya sido pedido o
este
# relacionado con lo que haya sido pedido.
# b) Dejamos salir tambien todo
iptables -A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
# Separamos por tipo de paquete
# 1. ICMP
# a) Dejamos pasar, 8 es para pings
iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 0
-j ACCEPT
iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 3
-j ACCEPT
iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 5
-j ACCEPT
iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 8
-j ACCEPT
iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type
11 -j ACCEPT
# 2. Paquetes TCP
# a) Ordenadores desde los que se puede entrar por ssh
iptables -A INPUT -p TCP -i eth0 -s IP1 --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP2 --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP3 --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
# b) Ordenadores desde los que se puede conectar
mediante SMTP
iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 25 -j
ACCEPT
iptables -A INPUT -p TCP -i lo --dport 25 -j ACCEPT
# iptables -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
# c) Ordenadores desde los que se puede visitar la web
# iptables -A INPUT -p TCP -i eth0 -s IP4 --dport 80
-j ACCEPT
# iptables -A INPUT -p TCP -i eth0 -s IP5 --dport 80
-j ACCEPT
# iptables -A INPUT -p TCP -i eth0 -s IP6 --dport 80
-j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 80 -j
ACCEPT
# c1) El 443 es el de HTTPS
iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 443 -j
ACCEPT
# d) Ordenadores que pueder recoger correo por POP3
iptables -A INPUT -p TCP -i eth0 -s IP7 --dport 110 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP8 --dport 110 -j
ACCEPT
# e) Ordenadores que puedes recoger correo por IMAP
iptables -A INPUT -p TCP -i eth0 -s IP9 --dport 143 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP10 --dport 143
-j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP11 --dport 143
-j ACCEPT
# f) Ordenadores que pueden conectar por FTP
iptables -A INPUT -p TCP -i eth0 -s IP12 --dport 21 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP13 --dport 21 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP14 --dport 21 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP15 --dport 21 -j
ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP16 --dport 21 -j
ACCEPT
# g) Ordenadores que pueden conectar a la base de
datos
iptables -A INPUT -p TCP -i eth0 -s IP17 --dport 3306
-j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP18 --dport 3306
-j ACCEPT
iptables -A INPUT -p TCP -i eth0 -s IP19 --dport 3306
-j ACCEPT
# 3. Paquetes UDP
# a) Para que funcione el DNS
iptables -A INPUT -i eth0 -p UDP -s 0/0 --source-port
53 -m state --state NEW,ESTABLISHED -j ACCEPT
# b) Utilizado para sincronizar la hora
# iptables -A INPUT -i eth0 -p UDP -s 0/0
--source-port 2074 -j ACCEPT
# Log de todo lo que no ha sido aceptado
iptables -A INPUT -m limit --limit 3/minute
--limit-burst 3 -j LOG --log-level DEBUG --log-prefix
"IPT INPUT packet died: "
#
# TABLA OUTPUT
#
# Lo dejamos salir todo
iptables -A OUTPUT -p ALL -s IP_servidor -j ACCEPT
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -o lo -j ACCEPT
iptables -A OUTPUT -m limit --limit 3/minute
--limit-burst 3 -j LOG --log-level DEBUG --log-prefix
"IPT OUTPUT packet died: "
---CUT---
On IPx son ordinadors que poden accedir a certs
serveis del servidor.
Que us sembla? Em deixo alguna cosa oberta? Tallo
alguns paquets que hauria d'acceptar?
Si em poguessiu comentar que us sembla us estaria molt
agraida ja que no en se massa, m'he llegit el tutorial
que us comento (IPTABLES-HOWTO) pero sap mes el diable
per vell que per diable ;-)
Moltes merces.
Petonets,
Maria :-*
__________________________________________________
Do you Yahoo!?
Yahoo! Tax Center - forms, calculators, tips, more
http://taxes.yahoo.com/
Reply to: