Mejorar FW iptables

To: debian-user-spanish@lists.debian.org
Subject: Mejorar FW iptables
From: Mario Ramirez <mramirez@iciuchile.cl>
Date: Thu, 10 Mar 2005 00:05:01 -0300
Message-id: <[🔎] 422FB95D.BE100ADA@iciuchile.cl>

Masters:
Estoy armando una experiencia de laboratorio con 2 gateways con Linux:
uno con Woody y el otro con Sarge.  Estos tienen un firewall mediante
iptables para hacer NAT y dejar pasar ciertos servicios. La idea es que
me ayuden y propongan mas reglas de modo de hacer un firewall de lujo.
Sé que iptables permite inspeccion de paquetes on line y que las
politicas por defecto deben ser DROP. Mi consulta apunta a que
recomendaciones me darian uds. para mejorar la seguridad del firewall y
dejarlo mas robusto (por ejemplo, verificacion de estados de las
conexiones, ciertos tipos de ataques particulares y ciertas condiciones
que aun desconozco). Agradecere vuestros aportes con respecto a mas
reglas que lo mejoren . Les envio mi script:
---------------------------------------------------------------------------------------

#!/bin/bash

echo -n Aplicando reglas de Firewall

#Borrar cualquier configuracion antigua
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

#Politicas por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Establecer las reglas de NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -d 10.1.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 10.1.1.0/24 -j ACCEPT

#Habilitar el forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Habilitar en el localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Habilitar pings
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#Apertura servicio web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

#Redireccion DNAT a equipo de la LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to
10.1.1.2

#Habilitar APT-GET
#Navegacion web
iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT
#DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
---------------------------------------------------------------------------------------

Saludos y gracias,
Mario Ramirez

Reply to:

Follow-Ups:
- Re: Mejorar FW iptables
  - From: mario@cfrd.cl
- Re: Mejorar FW iptables
  - From: Rodrigo <rroldan@linux.org.ar>

Prev by Date: Re: ordenador nuevo
Next by Date: Re: vmware
Previous by thread: instalar java
Next by thread: Re: Mejorar FW iptables
Index(es):
- Date
- Thread