Re: Problemas con iptables

To: <debian-user-spanish@lists.debian.org>
Subject: Re: Problemas con iptables
From: "Alejandro Kurchis" <alejandro_facultad@yahoo.com.ar>
Date: Wed, 9 Feb 2005 11:53:44 -0300
Message-id: <[🔎] 01a701c50eb7$2723d170$0200a8c0@ale>
Reply-to: "Alejandro Kurchis" <alejandro_facultad@yahoo.com.ar>
References: <[🔎] 20050209144345.7667.qmail@web52306.mail.yahoo.com>

Hola, te recomiendo leas al menos los ejemplo finales de este tutorial:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Yo cuando empece iptables sin saber nada lei este tutorial (largo por
cierto) pero con los ejemplos finales (que son varios) saque andando mi
firewall en 1 hora. Estan muy bien detallados.

Saludos,

Alejandro

----- Original Message ----- 
From: "Alfonso Pinto" <elhodred@yahoo.es>
To: <debian-user-spanish@lists.debian.org>
Sent: Wednesday, February 09, 2005 11:43 AM
Subject: Re: Problemas con iptables


> --- Jordi Román Mejias <jordi.roman@uab.es> escribió:
>
> > Y el trafico de DNS ? porque no esta habilitado :P
> >
> > ----- Mensaje de gporras@jaerod.com ---------
> >     Fecha: Wed, 09 Feb 2005 12:58:02 +0100
> >        De: Graciela Porras <gporras@jaerod.com>
> > Responder-A: Graciela Porras <gporras@jaerod.com>
> >   Asunto: Problemas con iptables
> >      Para: debian-user-spanish@lists.debian.org
> >
> >
> > >
> > > Hola!!
> > >  Estoy configurando un firewall con iptables
> > utilizando la politica por
> > > defecto DROP y he seguido muchos manuales pero
> > ninguno parece funcionar.
> > > En mi caso solo quiero permitir desde mi red
> > determinados servicios como
> > > www,http,ftp y solo quiero permitir conexiones a
> > mi red por ssh. Eth0 es
> > > la interfaz conectada a mi LAN y eth1 la conectada
> > al router.
> > > Adjunto mi configuracion con iptables por si
> > alguien me puede ayudar o
> > > aconsejar algún manual que funcione.
> > >
> > > #!/bin/sh
> > > ## SCRIPT DE IPTABLES
> > > ## GRACIELA
> > >
> > >
> > > #Borrar la tabla anterior
> > > iptables -t filter --flush
> > > iptables -t nat --flush
> > > iptables -t mangle --flush
> > > iptables -t filter --delete-chain
> > > iptables -t nat --delete-chain
> > > iptables -t mangle --delete-chain
> > > /etc/init.d/iptables clear
> > >
> > > echo -n Aplicando reglas de firewall ...
> > >
> > > ## FLUSH de reglas
> > > iptables -F
> > > iptables -X
> > > iptables -Z
> > > iptables -t nat -F
> > >
> > > ## Establecemos politica por defecto
> > > iptables -P INPUT DROP
> > > iptables -P OUTPUT DROP
> > > iptables -P FORWARD DROP
> > > iptables -t nat -P PREROUTING ACCEPT
> > > iptables -t nat -P POSTROUTING ACCEPT
> > >
> > > #A nuestro firewall tenemos acceso total desde
> > nuestra ip
> > > iptables -A INPUT -s 192.168.0.2 -j ACCEPT
> > > iptables -A OUTPUT -s 192.-j ACCEPT
> > >
> > > #Para el resto no hay acceso al firewall
> > > iptables -A INPUT -s 0.0.0.0/0 -j DROP
>
>      Te recomiendo poner esta regla por debajo de lo
> que quieres aceptar
> > >
> > >
> > > #Permitimos conexion de loopback
> > > iptables -A INPUT -i lo -j ACCEPT
> > > iptables -A OUTPUT -o lo -j ACCEPT
> > >
> > > # Aceptamos que vayan a puertos 80
> > >
> > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > > iptables -A OUTPUT -p udp --sport 80 -j ACCEPT
> > >
> > > # Aceptamos que vayan a puertos https
> > > iptables -A INPUT -p tcp --dport 443 -j ACCEPT &&
> > echo " regla-7 OK"
> > > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT &&
> > echo " regla-8 OK"
> > >
> > >
> > > # SALIDA FTP - Para conectar con FTPs
> > > iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
> > && echo " regla-19 OK"
>
> Con la regla de arriba estas permitiendo la entrada
> por puertos 20 y 21. No te lo recomiendo. Si tienes
> problemas de conexion con FTPs te recomiendo usar el
> modo pasivo
>
> > > iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
> > && echo " regla-20 OK"
> > >
> > > # Ahora hacemos enmascaramiento de la red local
> > > # y activamos el BIT de FORWARDING (esto es
> > imprescindible)
> > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24
> > -o eth1 -j MASQUERADE
> > > && echo " regla-22 OK"
> > >
> > > # Con esto permitimos hacer forward de paquetes en
> > el firewall, o sea
> > > # que otras maquinas puedan salir a traves del
> > firewall
> > > echo 1 > /proc/sys/net/ipv4/ip_forward && echo "
> > regla-23 OK"
> > >
> > > #Permitimos acceso del exterior por ssh
> > >
> > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22
> > -j ACCEPT && echo "
> > > reglas-24-1 OK"
>
>     Te recomiendo que hagas como con el acceso al
> puerto 80, es decir no especificar un -s 0.0.0.0
> > > iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22
> > -j ACCEPT && echo "
> > > reglas-25-1 OK"
> Lo mismo que arriba, incluso te diria que el puerto 22
> udp te sobra porque creo recordar que ssh se hace por
> tcp
> > > # Cerramos el rango de puerto bien conocido
> > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport
> > 1:1024 -j DROP && echo "
> > > regla-24 OK"
>
> lo mismo no hace falta que especifiques -s 0.0.0.0
> > > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport
> > 1:1024 -j DROP && echo "
> > > regla-25 OK"
> > >
>
> IDEM
>
> Te falta una regla que permita el Forward desde la
> interface interna a la externa algo asi como
>
> iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
>
> esto es para permitir que los paquetes pasen de eth0 a
> eth1
>
> y falta que puedas salir a internet
> iptables -A OUTPUT -j ACCEPT
>
> si no no se permite la salida de nada
>
> > > echo " OK. Verifique que lo que se aplica con:
> > iptables -L -n"
> > >
> > > #Norma general
> > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24
> > -o eth1 -j MASQUERADE
> > >
> > > #Habilitar el forwarding para que funcionen todas
> > las reglas FORWARD,
> > > POSTROUTING Y PREROUTING
> > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > >
> > > #Lo grabo en un fichero
> > > /etc/init.d/iptables save active4
> > >
> > > # Fin del script
>
> Creo que con esto te valdría
>
> Si tienes algún problema dimelo y te mando un archivo
> muy parecido al tuyo que esta funcionando en un
> firewall que tengo.
>
> Un saludo
>
> > >
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to
> > debian-user-spanish-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian
> > .org
> > >
> > >
> > >
> >
> >
> > ----- Terminar mensaje de gporras@jaerod.com -----
> >
> >
> >
> > --
> > Jordi Román Mejias
> > Tecnico de SID
> > Escoles Universitaries de Sabadell
> > Universitat Autònoma de
> > Barcelona
> >
> >
>
>
>
> ______________________________________________
> Renovamos el Correo Yahoo!: ¡250 MB GRATIS!
> Nuevos servicios, más seguridad
> http://correo.yahoo.es
>
>
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>

Reply to:

References:
- Re: Problemas con iptables
  - From: Alfonso Pinto <elhodred@yahoo.es>

Prev by Date: Re: Problemas con iptables
Next by Date: Thunderbird en Español en Sarge
Previous by thread: Re: Problemas con iptables
Next by thread: Re: Problemas con iptables
Index(es):
- Date
- Thread