Necesito opinion de expertos (iptables)...
Hola a todos... necesito la opinion de expertos sobre estas reglas simples y
concretas de iptables. Es del sistema que hace de gateway para una lan con
salida a internet. La fui armando haciendo rejunte de materiales de
tutoriales varios que encontre en netfilter.org y bueno... me gustaria
opiniones al respecto.
#!/bin/sh
## Cargamos modulos necesarios
modprobe ip_tables
modprobe ip_conntrack
## Definimos variables
IPTABLES="/sbin/iptables"
## Vaciamos las reglas
$IPTABLES --flush
$IPTABLES --table nat --flush
$IPTABLES --delete-chain
$IPTABLES --table nat --delete-chain
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
## Establecemos politicas
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
## Definimos reglas
$IPTABLES -N filtro
$IPTABLES -A filtro -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A filtro -i ! ppp0 -m state --state NEW -j ACCEPT
$IPTABLES -A filtro -p tcp --dport 22 --syn -j ACCEPT
$IPTABLES -A filtro -s 192.168.1.0/24 -p tcp --dport 4567 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.5:80
$IPTABLES -A filtro -j DROP
## Aqui comienzan las reglas.
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -j filtro
$IPTABLES -A FORWARD -j filtro
## Evitamos el Syn Spoof
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Gracias y saludos a todos.
--
-- Martin.
Reply to: