reglas del firewall
wladimir en mpudahuel.cl
wladimir en mpudahuel.cl
Jue Ene 12 08:57:09 CLST 2006
Hola: Lo que yo hice cuando me sucedio algo similar, fue comenzar a
aplicar las reglas de 1 en una. Finalmente llegaba a la que "molestaba" y
procedia a un analisis mas completo de la regla determinada. Yo veo que
tus reglas no son muchas por lo que es perfectamente factible de hacer.
Suerte.
> Hola, como les comente en mi anterior mensaje, estoy tratando de
> implementar un proxy transparente y un firewall, en principio al
> implementar solo el proxy transparente (SQUID+iptables), de la forma:
>
> asumiendo que la eth0 es la LAN y eth1 es la salida ainternet
>
> # redirecciona squid
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j
> MASQUERADE
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> # habilitar forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> hasta ahi todo ok (funcionan mis reglas y restricciones)
>
> pero cuando quiero incrementar reglas de control al firewall
> (basicamente empezar a bloquear y permitir accesos), todo deja de
> funcionar,el script que utilizo es el siguiente:
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto: DROP!!!
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # redirecciona squid
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j
> MASQUERADE
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> # habilitar forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # Dejo pasar los paquetes ICMP hacia y desde el firewall.
> iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
> iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
> iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
> iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT
>
> #reglas de redireccion
> iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
>
> iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT
> iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT
>
> Como todo dejo de funcionar tratae de implemetar reglas para dejar
> pasar navegacion y ping (en ambos sentidos pr que la politica por
> defecto es drop) pero ni aun con eso funciona
>
>
>
> Me podrian ayudar a resilver mi problema, ya que despues de esto debo
> empezar a bloquear el msn y a permitir accesos remotos, pero no puedo
> avanzar mientras esto no funcione bein.
>
> saludos y gracias adelntadas
>
>
Más información sobre la lista de distribución Linux