Mejorar FW iptables
Masters:
Estoy armando una experiencia de laboratorio con 2 gateways con Linux:
uno con Woody y el otro con Sarge. Estos tienen un firewall mediante
iptables para hacer NAT y dejar pasar ciertos servicios. La idea es que
me ayuden y propongan mas reglas de modo de hacer un firewall de lujo.
Sé que iptables permite inspeccion de paquetes on line y que las
politicas por defecto deben ser DROP. Mi consulta apunta a que
recomendaciones me darian uds. para mejorar la seguridad del firewall y
dejarlo mas robusto (por ejemplo, verificacion de estados de las
conexiones, ciertos tipos de ataques particulares y ciertas condiciones
que aun desconozco). Agradecere vuestros aportes con respecto a mas
reglas que lo mejoren . Les envio mi script:
---------------------------------------------------------------------------------------
#!/bin/bash
echo -n Aplicando reglas de Firewall
#Borrar cualquier configuracion antigua
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
#Politicas por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Establecer las reglas de NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -d 10.1.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 10.1.1.0/24 -j ACCEPT
#Habilitar el forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Habilitar en el localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Habilitar pings
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Apertura servicio web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
#Redireccion DNAT a equipo de la LAN
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to
10.1.1.2
#Habilitar APT-GET
#Navegacion web
iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT
#DNS
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
---------------------------------------------------------------------------------------
Saludos y gracias,
Mario Ramirez
Reply to: