Re: Problemas con iptables
Pues yo me basé en estos para hacer lo mismo:
http://www.pello.info/filez/IPTABLES_en_21_segundos.html
http://www.netfilter.org/
http://www.linuxguruz.com/iptables/scripts/rc.firewall_010.txt
http://www.tldp.org/LDP/nag2/x-087-2-firewall.example.html
http://www.malibyte.net/iptables/scripts/firewall.iptables-generic
http://www.linuxguruz.com/iptables/howto/iptables-HOWTO.html
Espero que te sirvan de ayuda.
El Miércoles, 9 de Febrero de 2005 12:58, Graciela Porras escribió:
> Hola!!
> Estoy configurando un firewall con iptables utilizando la politica por
> defecto DROP y he seguido muchos manuales pero ninguno parece funcionar.
> En mi caso solo quiero permitir desde mi red determinados servicios como
> www,http,ftp y solo quiero permitir conexiones a mi red por ssh. Eth0 es
> la interfaz conectada a mi LAN y eth1 la conectada al router.
> Adjunto mi configuracion con iptables por si alguien me puede ayudar o
> aconsejar algún manual que funcione.
>
> #!/bin/sh
> ## SCRIPT DE IPTABLES
> ## GRACIELA
>
>
> #Borrar la tabla anterior
> iptables -t filter --flush
> iptables -t nat --flush
> iptables -t mangle --flush
> iptables -t filter --delete-chain
> iptables -t nat --delete-chain
> iptables -t mangle --delete-chain
> /etc/init.d/iptables clear
>
> echo -n Aplicando reglas de firewall ...
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> #A nuestro firewall tenemos acceso total desde nuestra ip
> iptables -A INPUT -s 192.168.0.2 -j ACCEPT
> iptables -A OUTPUT -s 192.-j ACCEPT
>
> #Para el resto no hay acceso al firewall
> iptables -A INPUT -s 0.0.0.0/0 -j DROP
>
>
> #Permitimos conexion de loopback
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Aceptamos que vayan a puertos 80
>
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p udp --sport 80 -j ACCEPT
>
> # Aceptamos que vayan a puertos https
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT && echo " regla-7 OK"
> iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && echo " regla-8 OK"
>
>
> # SALIDA FTP - Para conectar con FTPs
> iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT && echo " regla-19 OK"
> iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT && echo " regla-20 OK"
>
> # Ahora hacemos enmascaramiento de la red local
> # y activamos el BIT de FORWARDING (esto es imprescindible)
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
> && echo " regla-22 OK"
>
> # Con esto permitimos hacer forward de paquetes en el firewall, o sea
> # que otras maquinas puedan salir a traves del firewall
> echo 1 > /proc/sys/net/ipv4/ip_forward && echo " regla-23 OK"
>
> #Permitimos acceso del exterior por ssh
>
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT && echo "
> reglas-24-1 OK"
> iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22 -j ACCEPT && echo "
> reglas-25-1 OK"
> # Cerramos el rango de puerto bien conocido
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP && echo "
> regla-24 OK"
> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP && echo "
> regla-25 OK"
>
> echo " OK. Verifique que lo que se aplica con: iptables -L -n"
>
> #Norma general
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
>
> #Habilitar el forwarding para que funcionen todas las reglas FORWARD,
> POSTROUTING Y PREROUTING
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> #Lo grabo en un fichero
> /etc/init.d/iptables save active4
>
> # Fin del script
--
Einar Matveinen
Vitoð ér enn eða hvat
var der mere I ville vide
Vitoð ér enn eða hvat
vil I mere før jeg forsvinder
under solen
Rekisteröitynyt Linux käyttäjä nro 221083
Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen
Reply to: