Pues yo me bas� en estos para hacer lo mismo: http://www.pello.info/filez/IPTABLES_en_21_segundos.html http://www.netfilter.org/ http://www.linuxguruz.com/iptables/scripts/rc.firewall_010.txt http://www.tldp.org/LDP/nag2/x-087-2-firewall.example.html http://www.malibyte.net/iptables/scripts/firewall.iptables-generic http://www.linuxguruz.com/iptables/howto/iptables-HOWTO.html
Espero que te sirvan de ayuda. El Mi�rcoles, 9 de Febrero de 2005 12:58, Graciela Porras escribi�: > Hola!! > Estoy configurando un firewall con iptables utilizando la politica por > defecto DROP y he seguido muchos manuales pero ninguno parece funcionar. > En mi caso solo quiero permitir desde mi red determinados servicios como > www,http,ftp y solo quiero permitir conexiones a mi red por ssh. Eth0 es > la interfaz conectada a mi LAN y eth1 la conectada al router. > Adjunto mi configuracion con iptables por si alguien me puede ayudar o > aconsejar alg�n manual que funcione. > > #!/bin/sh > ## SCRIPT DE IPTABLES > ## GRACIELA > > > #Borrar la tabla anterior > iptables -t filter --flush > iptables -t nat --flush > iptables -t mangle --flush > iptables -t filter --delete-chain > iptables -t nat --delete-chain > iptables -t mangle --delete-chain > /etc/init.d/iptables clear > > echo -n Aplicando reglas de firewall ... > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > #A nuestro firewall tenemos acceso total desde nuestra ip > iptables -A INPUT -s 192.168.0.2 -j ACCEPT > iptables -A OUTPUT -s 192.-j ACCEPT > > #Para el resto no hay acceso al firewall > iptables -A INPUT -s 0.0.0.0/0 -j DROP > > > #Permitimos conexion de loopback > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > # Aceptamos que vayan a puertos 80 > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p udp --sport 80 -j ACCEPT > > # Aceptamos que vayan a puertos https > iptables -A INPUT -p tcp --dport 443 -j ACCEPT && echo " regla-7 OK" > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && echo " regla-8 OK" > > > # SALIDA FTP - Para conectar con FTPs > iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT && echo " regla-19 OK" > iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT && echo " regla-20 OK" > > # Ahora hacemos enmascaramiento de la red local > # y activamos el BIT de FORWARDING (esto es imprescindible) > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE > && echo " regla-22 OK" > > # Con esto permitimos hacer forward de paquetes en el firewall, o sea > # que otras maquinas puedan salir a traves del firewall > echo 1 > /proc/sys/net/ipv4/ip_forward && echo " regla-23 OK" > > #Permitimos acceso del exterior por ssh > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT && echo " > reglas-24-1 OK" > iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22 -j ACCEPT && echo " > reglas-25-1 OK" > # Cerramos el rango de puerto bien conocido > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP && echo " > regla-24 OK" > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP && echo " > regla-25 OK" > > echo " OK. Verifique que lo que se aplica con: iptables -L -n" > > #Norma general > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE > > #Habilitar el forwarding para que funcionen todas las reglas FORWARD, > POSTROUTING Y PREROUTING > echo 1 > /proc/sys/net/ipv4/ip_forward > > #Lo grabo en un fichero > /etc/init.d/iptables save active4 > > # Fin del script -- Einar Matveinen Vito� �r enn e�a hvat var der mere I ville vide Vito� �r enn e�a hvat vil I mere f�r jeg forsvinder under solen Rekister�itynyt Linux k�ytt�j� nro 221083 Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen
