Consulta Iptables
Sebastian Antunez Noguera
santunez en gmail.com
Lun Dic 17 15:18:46 CLST 2007
Estimados, debo configurar un firewall con Fedora Core 7 usando IPTABLES, en
el mismo server debo dar acceso a Internet a 15 usuarios, y el server de
Firewall debe tener el server de correo, web y DNS o sea todo en una mismo
server, ya que la empresa es pequeña no encontraron necesario invertir en un
equipo para web y correo en DMZ, si que todo debe ser en el mismo server de
firewall.
El Script de IPTABLES que tengo es el siguiente:
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#Politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#Politica de Locahost
iptables -A INPUT -i lo -j ACCEPT
# Port 25 - 53 - 80 y 110
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
#Salida de usuarios LAN
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# Denegación
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
#BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
#Forward de Paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
# Cerrado de Ports
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
Les agradeceré su consejo para mejorar si es posible este script, o con lo
que muestro sería suficiente para esta red.
Gracias
SAN
Más información sobre la lista de distribución Linux