Consulta Iptables
César Sepúlveda
cesar.sepulveda.b en gmail.com
Lun Dic 17 16:05:30 CLST 2007
El lun, 17-12-2007 a las 15:18 -0300, Sebastian Antunez Noguera
escribió:
> Estimados, debo configurar un firewall con Fedora Core 7 usando IPTABLES, en
> el mismo server debo dar acceso a Internet a 15 usuarios, y el server de
> Firewall debe tener el server de correo, web y DNS o sea todo en una mismo
> server, ya que la empresa es pequeña no encontraron necesario invertir en un
> equipo para web y correo en DMZ, si que todo debe ser en el mismo server de
> firewall.
>
> El Script de IPTABLES que tengo es el siguiente:
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> #Politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> #Politica de Locahost
> iptables -A INPUT -i lo -j ACCEPT
>
> # Port 25 - 53 - 80 y 110
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
>
>
> #Salida de usuarios LAN
>
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
>
> # Denegación
> iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
>
> #BIT DE FORWARDING
> iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
>
> #Forward de Paquetes
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # Cerrado de Ports
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP
> iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP
>
> Les agradeceré su consejo para mejorar si es posible este script, o con lo
> que muestro sería suficiente para esta red.
>
> Gracias
>
> SAN
Hola.
te estarian faltando las politicas de -sport, para los forward.
Saludos.
mira esta es la mia en la que cierro solamente los forward, estero te
sirva.
#### Flush de Reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
### El aceptar como defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
### Definir Interfaces
export LAN=eth1
export WAN=eth0
### Aceptar coneccion de lan lo y wan
iptables -I INPUT 1 -i lo -j ACCEPT
### Reglas de NAT
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o ${WAN} -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ${WAN} -j DNAT --to
10.0.1.200:80
iptables -t nat -A PREROUTING -p tcp --dport 22672 -i ${WAN} -j DNAT
--to 10.0.1.65:22672
##reglas forward
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT ##web
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT ##web
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT ##web
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT ##web
iptables -A FORWARD -p tcp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 30000:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 30000:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 30000:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 30000:30010 -d 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 30000:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --sport 30000:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 30000:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p udp --dport 30000:30010 -s 200.29.72.170 -j
ACCEPT ##ftp
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --sport 995 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --sport 465 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT ##mail
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT ##ssh
iptables -A FORWARD -p tcp --sport 22 -j ACCEPT ##ssh
iptables -A FORWARD -p tcp --dport 66 -j ACCEPT ##ssh
iptables -A FORWARD -p tcp --sport 66 -j ACCEPT ##ssh
iptables -A FORWARD -p tcp --dport 2086 -j ACCEPT ##whm
iptables -A FORWARD -p tcp --sport 2086 -j ACCEPT ##whm
iptables -A FORWARD -p tcp --dport 2082 -j ACCEPT ##cpanel
iptables -A FORWARD -p tcp --sport 2082 -j ACCEPT ##cpanel
iptables -A FORWARD -p tcp --dport 2095 -j ACCEPT ##webmail
iptables -A FORWARD -p tcp --sport 2095 -j ACCEPT ##webmail
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT ##messenger
iptables -A FORWARD -p tcp --sport 1863 -j ACCEPT ##messenger
iptables -A FORWARD -p tcp --dport 6891:6900 -j ACCEPT ##messenger
iptables -A FORWARD -p tcp --sport 6891:6900 -j ACCEPT ##messenger
iptables -A FORWARD -p tcp --dport 5222 -j ACCEPT ##jabber
iptables -A FORWARD -p tcp --sport 5222 -j ACCEPT ##jabber
iptables -A FORWARD -s 10.0.1.53 -j ACCEPT
iptables -A FORWARD -d 10.0.1.53 -j ACCEPT
iptables -A FORWARD -s 10.0.1.65 -j ACCEPT
iptables -A FORWARD -d 10.0.1.65 -j ACCEPT
iptables -A FORWARD -s 10.0.1.54 -j ACCEPT
iptables -A FORWARD -d 10.0.1.54 -j ACCEPT
iptables -A FORWARD -s 10.0.1.52 -j ACCEPT
iptables -A FORWARD -d 10.0.1.52 -j ACCEPT
### Confirmar el bit de FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward
Más información sobre la lista de distribución Linux