Re: Fw: iptables..
Gracias Angel por responder, tengo pongo algunas
cosas mas de porque he hecho algunas cosas.
> > #!/bin/sh
> >
> > #Borramos antiguas reglas del firewall
> > iptables -F INPUT
> > iptables -F FORWARD
> > iptables -t nat -F
> > iptables -t nat -F PREROUTING
> > iptables -t nat -F POSTROUTING
> >
> > #Aceptamos todo lo que sale
> > iptables -P OUTPUT ACCEPT
> >
> > #Habilitamos masquerading (para la lan que hay
> > #detras del server)
> > iptables -t nat -A POSTROUTING -o eth0 -j
> > MASQUERADE
>
> yo especificaria tambien la interface de entrada
> y/o la red/mascara
Vale, esto lo tendre en cuenta
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > #Aceptamos paquetes de conexiones ya
> > #establecidas
> > iptables -A INPUT -p TCP -m state --state
> > RELATED -j ACCEPT iptables -A INPUT -p TCP -m
> > state --state ESTABLISHED -j ACCEPT
> >
> lo podes poner en una sola regla
Eso ya me di cuenta en otro post que me han
comentado en otra lista, thx :)
> > #Aceptamos paquetes ICMP
> > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> >
> aca tenes que ser mas granular y definir que
> tipos de paquetes ICMP dejas pasar
mmm no sabia esto, simplemente quiero que mi
maquina responda a los pings, como podria
especificarlo ???
> > #Aceptamos conexiones al 53, 25, y 110
> > iptables -A INPUT -i eth0 -p TCP --dport 53 -m
> > state --state NEW -j ACCEPT iptables -A INPUT
> > -i eth0 -p UDP --dport 53 -m state --state NEW
> > -j ACCEPT iptables -A INPUT -i eth0 -p TCP
> > --dport 25 -m state --state NEW -j ACCEPT
> > iptables -A INPUT -i eth0 -p TCP --dport 110
> > -m state --state NEW -j ACCEPT
> >
> Tenes un servidor de nombres y le das acceso a
> todo el mundo? (internet) lo mismo para el pop
mmmm tengo un servidor de nombres, supongo que la
gente tendra que hacer consultas en mi propio
servidor para los respectivos subdominios que
tenga no ??? ftp.midominio.com
pop3.mmidominio.com.. etc. Y para eso tengo que
dejarles pasar por el 53 no ??? corrigeme si me
equivo.
Con respecto al 110, si, no hay problema ya que
esta por pass, yo mismo podria consultarlo desde
fuera de mi red.
> >
> > #Aceptamos conexiones al 22, 5901 y 6001 solo
> > #de una ip
> > iptables -A INPUT -i eth0 -p TCP --dport 22 -s
> > XX.XX.XX.XX -m state --state NEW -j ACCEPT
> > iptables -A INPUT -i eth0 -p TCP --dport 5901
> > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT
> > iptables -A INPUT -i eth0 -p TCP --dport 6001
> > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT
> >
> > #Redirecciono el 2022 hacia el puerto 22 de un
> > #pc de mi lan interna y lo loggeo
> > iptables -t nat -A PREROUTING -i eth0 -p TCP
> > --dport 2022 -j LOG --log-prefix "ssh_2022: "
> > iptables -t nat -A PREROUTING -i eth0 -p TCP
> > --dport 2022 -j DNAT --to 192.172.10.25:22
> >
> > #Rechazamos conexiones al 113, asi evitamos
> > #que expiren y tarden en responder algunos
> > #servicios.
> > iptables -A INPUT -i eth0 -p TCP --dport 113
> > -j REJECT
> >
> > #Rechazamos paquetes de conexiones nuevas
> > iptables -A INPUT -i eth0 -m state --state
> > NEW,INVALID -j DROP
> >
> con la politica en drop esto esta de mas
>
La politica de INPUT no la pongo en drop ya que
hay otra interfaz, la eth1 que va a mi lan interna
a la cual no le he prohibido nada, por lo tanto
creo que es mejor asi. No obstane, en un futuro lo
optimizare y pondre la politica en drop tanto para
input, como output y forward, y solo dare acceso a
los servicios mas utilizados.
> > #Rechazamos paquetes de forwarding de
> > #conexiones no establecidas
> > iptables -A FORWARD -i eth0 -m state --state
> > NEW,INVALID -j DROP
> >
> > #Rechazamos todo lo demas
> > #iptables -A INPUT -i eth0 -j DROP
> >
> idem
> >
>
> Te falta permitirle a la propia maquina
> establecer conexiones
seguro ??? la politica de OUTPUT esta en que
acepte todo, por tanto la maquina desde dentro
puede hacer cualquier conexion al exterior, nadie
se lo impide.
>
> iptables -A INPUT -i lo -j ACCEPT
>
> > Saludos.
> >
>
>
> Supongo que habra mas comentarios, lo mio fue
> solo una ojeadita nada mas Tenes muchas mas
> opciones para filtrar mas fino, pero es cuestion
> de buscar y leer
Gracias por todo.
Reply to: