Re: Mejorar FW iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: Mejorar FW iptables
From: Rodrigo <rroldan@linux.org.ar>
Date: Thu, 10 Mar 2005 16:48:59 -0300
Message-id: <[🔎] 200503101648.59313.rroldan@linux.org.ar>
In-reply-to: <[🔎] 422FB95D.BE100ADA@iciuchile.cl>
References: <[🔎] 422FB95D.BE100ADA@iciuchile.cl>

Mario:
 Yo particularmente no pondria OUTPUT DROP. El resto es muy particular, en mi 
caso solo dejo abiertos el 22 y el 80(ssh y http).
Saludos. Roldyx.

El Jue 10 Mar 2005 00:05, Mario Ramirez escribió:
> Masters:
> Estoy armando una experiencia de laboratorio con 2 gateways con Linux:
> uno con Woody y el otro con Sarge.  Estos tienen un firewall mediante
> iptables para hacer NAT y dejar pasar ciertos servicios. La idea es que
> me ayuden y propongan mas reglas de modo de hacer un firewall de lujo.
> Sé que iptables permite inspeccion de paquetes on line y que las
> politicas por defecto deben ser DROP. Mi consulta apunta a que
> recomendaciones me darian uds. para mejorar la seguridad del firewall y
> dejarlo mas robusto (por ejemplo, verificacion de estados de las
> conexiones, ciertos tipos de ataques particulares y ciertas condiciones
> que aun desconozco). Agradecere vuestros aportes con respecto a mas
> reglas que lo mejoren . Les envio mi script:
> ---------------------------------------------------------------------------
>------------
>
> #!/bin/bash
>
> echo -n Aplicando reglas de Firewall
>
> #Borrar cualquier configuracion antigua
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
> iptables -t nat -X
> iptables -t nat -Z
>
> #Politicas por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> #Establecer las reglas de NAT
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -A FORWARD -i eth0 -o eth1 -d 10.1.1.0/24 -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 -s 10.1.1.0/24 -j ACCEPT
>
> #Habilitar el forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> #Habilitar en el localhost
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> #Habilitar pings
> iptables -A INPUT -p icmp -j ACCEPT
> iptables -A OUTPUT -p icmp -j ACCEPT
>
> #Apertura servicio web
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
>
> #Redireccion DNAT a equipo de la LAN
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to
> 10.1.1.2
>
> #Habilitar APT-GET
> #Navegacion web
> iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT
> #DNS
> iptables -A INPUT -p udp --sport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> ---------------------------------------------------------------------------
>------------
>
> Saludos y gracias,
> Mario Ramirez

Reply to:

References:
- Mejorar FW iptables
  - From: Mario Ramirez <mramirez@iciuchile.cl>

Prev by Date: super OT
Next by Date: Re: super OT
Previous by thread: Re: Mejorar FW iptables
Next by thread: All are FDA approved
Index(es):
- Date
- Thread