reglas del firewall
Percy Gonzales
pergonzales en gmail.com
Lun Ene 9 10:34:02 CLST 2006
Hola, como les comente en mi anterior mensaje, estoy tratando de
implementar un proxy transparente y un firewall, en principio al
implementar solo el proxy transparente (SQUID+iptables), de la forma:
asumiendo que la eth0 es la LAN y eth1 es la salida ainternet
# redirecciona squid
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
# habilitar forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
hasta ahi todo ok (funcionan mis reglas y restricciones)
pero cuando quiero incrementar reglas de control al firewall
(basicamente empezar a bloquear y permitir accesos), todo deja de
funcionar,el script que utilizo es el siguiente:
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto: DROP!!!
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# redirecciona squid
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
# habilitar forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Dejo pasar los paquetes ICMP hacia y desde el firewall.
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
#reglas de redireccion
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT
Como todo dejo de funcionar tratae de implemetar reglas para dejar
pasar navegacion y ping (en ambos sentidos pr que la politica por
defecto es drop) pero ni aun con eso funciona
Me podrian ayudar a resilver mi problema, ya que despues de esto debo
empezar a bloquear el msn y a permitir accesos remotos, pero no puedo
avanzar mientras esto no funcione bein.
saludos y gracias adelntadas
Más información sobre la lista de distribución Linux