Re: Tengo una duda para asegurar el firewall.
El Jue 27 Oct 2005 16:30, Pablo Braulio escribió:
> Hola.
> Al final lo he dejado así para asegurar el acceso a la LAN.
>
> I_EXT=eth0
> I_LAN=eth1
> I_DMZ=eth2
>
> LAN=192.168.1.0/24
> DMZ=192.168.0.2
>
> EQUIPO1=192.168.1.4
> EQUIPO2=192.168.1.2
>
> echo -n "Activando reglas para interfaces: "
> #I_EXT
> iptables -A INPUT -i $I_EXT -m state --state ESTABLISHED,RELATED -j
> ACCEPT iptables -A OUTPUT -o $I_EXT -m state --state
> NEW,ESTABLISHED,RELATED -j ACCEPT
>
> #De LAN al exterior
> iptables -A FORWARD -i $I_LAN -s $LAN -d 0.0.0.0/0 -m state --state
> NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -o $I_LAN -s 0.0.0.0/0 -d $LAN -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
> # De DMZ al exterior.
> iptables -A FORWARD -i $I_DMZ -s $DMZ -d 0.0.0.0/0 -m state --state
> NEW,ESTABLISHED,RELATED -j ACCEPT
Para que permitis conexiones nuevas desde la DMZ a internet? hay alguna razon
especial para que permitas eso?
> iptables -A FORWARD -o $I_DMZ -s 0.0.0.0/0 -d $DMZ -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> echo "hecho."
>
> echo -n "Asegurando LAN: "
> # Permitiendo ssh de equipo1 y equipo2 a firewall.
> iptables -A INPUT -i $I_LAN -p tcp -s $equipo1 -d 192.168.1.1 --dport 560
> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -i $I_LAN -p tcp -s $equipo2 -d 192.168.1.1 --dport 560
> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A OUTPUT -o $I_LAN -p tcp -s 192.168.1.1 -d $equipo1 --sport
> 560 -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -o $I_LAN -p tcp -s 192.168.1.1 -d $equipo2 --sport
> 560 -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> echo "hecho."
>
> Lo que no he conseguido es crear nuevas reglas.
Reply to: