Y el trafico de DNS ? porque no esta habilitado :P
----- Mensaje de [EMAIL PROTECTED] ---------
Fecha: Wed, 09 Feb 2005 12:58:02 +0100
De: Graciela Porras <[EMAIL PROTECTED]>
Responder-A: Graciela Porras <[EMAIL PROTECTED]>
Asunto: Problemas con iptables
Para: [email protected]
Hola!!
Estoy configurando un firewall con iptables utilizando la politica por
defecto DROP y he seguido muchos manuales pero ninguno parece funcionar.
En mi caso solo quiero permitir desde mi red determinados servicios como
www,http,ftp y solo quiero permitir conexiones a mi red por ssh. Eth0 es
la interfaz conectada a mi LAN y eth1 la conectada al router.
Adjunto mi configuracion con iptables por si alguien me puede ayudar o
aconsejar algÃn manual que funcione.
#!/bin/sh
## SCRIPT DE IPTABLES
## GRACIELA
#Borrar la tabla anterior
iptables -t filter --flush
iptables -t nat --flush
iptables -t mangle --flush
iptables -t filter --delete-chain
iptables -t nat --delete-chain
iptables -t mangle --delete-chain
/etc/init.d/iptables clear
echo -n Aplicando reglas de firewall ...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#A nuestro firewall tenemos acceso total desde nuestra ip
iptables -A INPUT -s 192.168.0.2 -j ACCEPT
iptables -A OUTPUT -s 192.-j ACCEPT
#Para el resto no hay acceso al firewall
iptables -A INPUT -s 0.0.0.0/0 -j DROP
#Permitimos conexion de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Aceptamos que vayan a puertos 80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp --sport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT && echo " regla-7 OK"
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && echo " regla-8 OK"
# SALIDA FTP - Para conectar con FTPs
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT && echo " regla-19 OK"
iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT && echo " regla-20 OK"
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT de FORWARDING (esto es imprescindible)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
&& echo " regla-22 OK"
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras maquinas puedan salir a traves del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward && echo " regla-23 OK"
#Permitimos acceso del exterior por ssh
iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 -j ACCEPT && echo "
reglas-24-1 OK"
iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22 -j ACCEPT && echo "
reglas-25-1 OK"
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP && echo "
regla-24 OK"
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP && echo "
regla-25 OK"
echo " OK. Verifique que lo que se aplica con: iptables -L -n"
#Norma general
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
#Habilitar el forwarding para que funcionen todas las reglas FORWARD,
POSTROUTING Y PREROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
#Lo grabo en un fichero
/etc/init.d/iptables save active4
# Fin del script
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
.org
----- Terminar mensaje de [EMAIL PROTECTED] -----
--
Jordi RomÃn Mejias
Tecnico de SID
Escoles Universitaries de Sabadell Universitat AutÃnoma de
Barcelona
