Hola! Fa poc vaig instal·lar un PC amb Debian la missio del qual es fer de servidor. Em vaig llegir el tutorial aquell famos que esta a tot arreu (ara no en recordo el nom) i al final vaig acabar escrivint aixo:
(suposo que alguna linia quedara tallada) ---CUT--- # per salvar-lo update-rc.d firewall.sh defaults echo 1 > /proc/sys/net/ipv4/ip_forward # Politica por defecto para cada tipo de paquetes, INPUT, OUTPUT y FORWARD iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Direcciones que no pasan por falsas iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP # TABLE INPUT # # 0. Normas generales a todos los paquetes # a) Aceptamos todo lo que entra y haya sido pedido o este # relacionado con lo que haya sido pedido. # b) Dejamos salir tambien todo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Separamos por tipo de paquete # 1. ICMP # a) Dejamos pasar, 8 es para pings iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 0 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 3 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 5 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -i eth0 -s 0/0 --icmp-type 11 -j ACCEPT # 2. Paquetes TCP # a) Ordenadores desde los que se puede entrar por ssh iptables -A INPUT -p TCP -i eth0 -s IP1 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP2 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP3 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # b) Ordenadores desde los que se puede conectar mediante SMTP iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 25 -j ACCEPT iptables -A INPUT -p TCP -i lo --dport 25 -j ACCEPT # iptables -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT # c) Ordenadores desde los que se puede visitar la web # iptables -A INPUT -p TCP -i eth0 -s IP4 --dport 80 -j ACCEPT # iptables -A INPUT -p TCP -i eth0 -s IP5 --dport 80 -j ACCEPT # iptables -A INPUT -p TCP -i eth0 -s IP6 --dport 80 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 80 -j ACCEPT # c1) El 443 es el de HTTPS iptables -A INPUT -p TCP -i eth0 -s 0/0 --dport 443 -j ACCEPT # d) Ordenadores que pueder recoger correo por POP3 iptables -A INPUT -p TCP -i eth0 -s IP7 --dport 110 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP8 --dport 110 -j ACCEPT # e) Ordenadores que puedes recoger correo por IMAP iptables -A INPUT -p TCP -i eth0 -s IP9 --dport 143 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP10 --dport 143 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP11 --dport 143 -j ACCEPT # f) Ordenadores que pueden conectar por FTP iptables -A INPUT -p TCP -i eth0 -s IP12 --dport 21 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP13 --dport 21 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP14 --dport 21 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP15 --dport 21 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP16 --dport 21 -j ACCEPT # g) Ordenadores que pueden conectar a la base de datos iptables -A INPUT -p TCP -i eth0 -s IP17 --dport 3306 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP18 --dport 3306 -j ACCEPT iptables -A INPUT -p TCP -i eth0 -s IP19 --dport 3306 -j ACCEPT # 3. Paquetes UDP # a) Para que funcione el DNS iptables -A INPUT -i eth0 -p UDP -s 0/0 --source-port 53 -m state --state NEW,ESTABLISHED -j ACCEPT # b) Utilizado para sincronizar la hora # iptables -A INPUT -i eth0 -p UDP -s 0/0 --source-port 2074 -j ACCEPT # Log de todo lo que no ha sido aceptado iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " # # TABLA OUTPUT # # Lo dejamos salir todo iptables -A OUTPUT -p ALL -s IP_servidor -j ACCEPT iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT iptables -A OUTPUT -p ALL -o lo -j ACCEPT iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " ---CUT--- On IPx son ordinadors que poden accedir a certs serveis del servidor. Que us sembla? Em deixo alguna cosa oberta? Tallo alguns paquets que hauria d'acceptar? Si em poguessiu comentar que us sembla us estaria molt agraida ja que no en se massa, m'he llegit el tutorial que us comento (IPTABLES-HOWTO) pero sap mes el diable per vell que per diable ;-) Moltes merces. Petonets, Maria :-* __________________________________________________ Do you Yahoo!? Yahoo! Tax Center - forms, calculators, tips, more http://taxes.yahoo.com/
