Re: Problemas con iptables
--- Jordi Román Mejias <jordi.roman@uab.es> escribió:
> Y el trafico de DNS ? porque no esta habilitado :P
>
> ----- Mensaje de gporras@jaerod.com ---------
> Fecha: Wed, 09 Feb 2005 12:58:02 +0100
> De: Graciela Porras <gporras@jaerod.com>
> Responder-A: Graciela Porras <gporras@jaerod.com>
> Asunto: Problemas con iptables
> Para: debian-user-spanish@lists.debian.org
>
>
> >
> > Hola!!
> > Estoy configurando un firewall con iptables
> utilizando la politica por
> > defecto DROP y he seguido muchos manuales pero
> ninguno parece funcionar.
> > En mi caso solo quiero permitir desde mi red
> determinados servicios como
> > www,http,ftp y solo quiero permitir conexiones a
> mi red por ssh. Eth0 es
> > la interfaz conectada a mi LAN y eth1 la conectada
> al router.
> > Adjunto mi configuracion con iptables por si
> alguien me puede ayudar o
> > aconsejar algún manual que funcione.
> >
> > #!/bin/sh
> > ## SCRIPT DE IPTABLES
> > ## GRACIELA
> >
> >
> > #Borrar la tabla anterior
> > iptables -t filter --flush
> > iptables -t nat --flush
> > iptables -t mangle --flush
> > iptables -t filter --delete-chain
> > iptables -t nat --delete-chain
> > iptables -t mangle --delete-chain
> > /etc/init.d/iptables clear
> >
> > echo -n Aplicando reglas de firewall ...
> >
> > ## FLUSH de reglas
> > iptables -F
> > iptables -X
> > iptables -Z
> > iptables -t nat -F
> >
> > ## Establecemos politica por defecto
> > iptables -P INPUT DROP
> > iptables -P OUTPUT DROP
> > iptables -P FORWARD DROP
> > iptables -t nat -P PREROUTING ACCEPT
> > iptables -t nat -P POSTROUTING ACCEPT
> >
> > #A nuestro firewall tenemos acceso total desde
> nuestra ip
> > iptables -A INPUT -s 192.168.0.2 -j ACCEPT
> > iptables -A OUTPUT -s 192.-j ACCEPT
> >
> > #Para el resto no hay acceso al firewall
> > iptables -A INPUT -s 0.0.0.0/0 -j DROP
Te recomiendo poner esta regla por debajo de lo
que quieres aceptar
> >
> >
> > #Permitimos conexion de loopback
> > iptables -A INPUT -i lo -j ACCEPT
> > iptables -A OUTPUT -o lo -j ACCEPT
> >
> > # Aceptamos que vayan a puertos 80
> >
> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > iptables -A OUTPUT -p udp --sport 80 -j ACCEPT
> >
> > # Aceptamos que vayan a puertos https
> > iptables -A INPUT -p tcp --dport 443 -j ACCEPT &&
> echo " regla-7 OK"
> > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT &&
> echo " regla-8 OK"
> >
> >
> > # SALIDA FTP - Para conectar con FTPs
> > iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
> && echo " regla-19 OK"
Con la regla de arriba estas permitiendo la entrada
por puertos 20 y 21. No te lo recomiendo. Si tienes
problemas de conexion con FTPs te recomiendo usar el
modo pasivo
> > iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
> && echo " regla-20 OK"
> >
> > # Ahora hacemos enmascaramiento de la red local
> > # y activamos el BIT de FORWARDING (esto es
> imprescindible)
> > iptables -t nat -A POSTROUTING -s 192.168.0.0/24
> -o eth1 -j MASQUERADE
> > && echo " regla-22 OK"
> >
> > # Con esto permitimos hacer forward de paquetes en
> el firewall, o sea
> > # que otras maquinas puedan salir a traves del
> firewall
> > echo 1 > /proc/sys/net/ipv4/ip_forward && echo "
> regla-23 OK"
> >
> > #Permitimos acceso del exterior por ssh
> >
> > iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22
> -j ACCEPT && echo "
> > reglas-24-1 OK"
Te recomiendo que hagas como con el acceso al
puerto 80, es decir no especificar un -s 0.0.0.0
> > iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22
> -j ACCEPT && echo "
> > reglas-25-1 OK"
Lo mismo que arriba, incluso te diria que el puerto 22
udp te sobra porque creo recordar que ssh se hace por
tcp
> > # Cerramos el rango de puerto bien conocido
> > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport
> 1:1024 -j DROP && echo "
> > regla-24 OK"
lo mismo no hace falta que especifiques -s 0.0.0.0
> > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport
> 1:1024 -j DROP && echo "
> > regla-25 OK"
> >
IDEM
Te falta una regla que permita el Forward desde la
interface interna a la externa algo asi como
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
esto es para permitir que los paquetes pasen de eth0 a
eth1
y falta que puedas salir a internet
iptables -A OUTPUT -j ACCEPT
si no no se permite la salida de nada
> > echo " OK. Verifique que lo que se aplica con:
> iptables -L -n"
> >
> > #Norma general
> > iptables -t nat -A POSTROUTING -s 192.168.0.0/24
> -o eth1 -j MASQUERADE
> >
> > #Habilitar el forwarding para que funcionen todas
> las reglas FORWARD,
> > POSTROUTING Y PREROUTING
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> > #Lo grabo en un fichero
> > /etc/init.d/iptables save active4
> >
> > # Fin del script
Creo que con esto te valdría
Si tienes algún problema dimelo y te mando un archivo
muy parecido al tuyo que esta funcionando en un
firewall que tengo.
Un saludo
> >
> >
> >
> > --
> > To UNSUBSCRIBE, email to
> debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian
> .org
> >
> >
> >
>
>
> ----- Terminar mensaje de gporras@jaerod.com -----
>
>
>
> --
> Jordi Román Mejias
> Tecnico de SID
> Escoles Universitaries de Sabadell
> Universitat Autònoma de
> Barcelona
>
>
______________________________________________
Renovamos el Correo Yahoo!: ¡250 MB GRATIS!
Nuevos servicios, más seguridad
http://correo.yahoo.es
Reply to: