Hola a todos. Estoy tratando de depurar el firewall, para proteger mejor la red local. Necesito la opinión de mas gente. La estructura es esta: Un equipo haciendo de firewall con 3 interfaces. No hay router, va directo al modem cable. eth0 -->Puerta de enlace dhcp eth1 -->LAN eth2 -->Servidor www, mail. Tengo puestas todas las reglas que se piden para que funcione (politica por defecto, modulos, Forwarding, NAT para la LAN y DMZ, Interfaz local). Eso funciona bien. La política es: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP <-- Esta es la que quiero dejar ahora Poniendo en FORWARD DROP he tenido que poner las siguientes reglas para que los equipos, tanto de la LAN como el servidor que está en la DMZ, pueda salir a Internet. iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Como podéis ver, la eth0 acepta sólo conexiones nuevas salientes, la eth1 y la eth2 a la inversa. Esto lo he puesto así, pues acepta las conexiones desde la LAN y el servidor de la DMZ. Supongo que será lo correcto. Lo que quiero hacer, es evitar que desde el firewall y el servidor de la DMZ, se tenga acceso a la LAN. Al contrario si. Lo curioso es que por ssh puedo acceder a todos los equipos, incluso la DMZ, pero al firewall no. Tengo que poner una regla para que me lo permita. No entiendo el porque. El servidor ssh no tiene ninguna configuración especial que no lo permita. ¿Alguien sabría decirme si las reglas que he puesto son correctas?. -- Saludos. Pablo. Fingerprint 5607 40CF 45EF D490 B794 5056 D7B2 C3DC ABF1 CE49 Jabber: bruli(at)myjabber(dot)net
Attachment:
pgpO95zMW_cNK.pgp
Description: PGP signature