Hola, te recomiendo leas al menos los ejemplo finales de este tutorial: http://iptables-tutorial.frozentux.net/iptables-tutorial.html
Yo cuando empece iptables sin saber nada lei este tutorial (largo por cierto) pero con los ejemplos finales (que son varios) saque andando mi firewall en 1 hora. Estan muy bien detallados. Saludos, Alejandro ----- Original Message ----- From: "Alfonso Pinto" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Wednesday, February 09, 2005 11:43 AM Subject: Re: Problemas con iptables > --- Jordi Rom�n Mejias <[EMAIL PROTECTED]> escribi�: > > > Y el trafico de DNS ? porque no esta habilitado :P > > > > ----- Mensaje de [EMAIL PROTECTED] --------- > > Fecha: Wed, 09 Feb 2005 12:58:02 +0100 > > De: Graciela Porras <[EMAIL PROTECTED]> > > Responder-A: Graciela Porras <[EMAIL PROTECTED]> > > Asunto: Problemas con iptables > > Para: [email protected] > > > > > > > > > > Hola!! > > > Estoy configurando un firewall con iptables > > utilizando la politica por > > > defecto DROP y he seguido muchos manuales pero > > ninguno parece funcionar. > > > En mi caso solo quiero permitir desde mi red > > determinados servicios como > > > www,http,ftp y solo quiero permitir conexiones a > > mi red por ssh. Eth0 es > > > la interfaz conectada a mi LAN y eth1 la conectada > > al router. > > > Adjunto mi configuracion con iptables por si > > alguien me puede ayudar o > > > aconsejar alg�n manual que funcione. > > > > > > #!/bin/sh > > > ## SCRIPT DE IPTABLES > > > ## GRACIELA > > > > > > > > > #Borrar la tabla anterior > > > iptables -t filter --flush > > > iptables -t nat --flush > > > iptables -t mangle --flush > > > iptables -t filter --delete-chain > > > iptables -t nat --delete-chain > > > iptables -t mangle --delete-chain > > > /etc/init.d/iptables clear > > > > > > echo -n Aplicando reglas de firewall ... > > > > > > ## FLUSH de reglas > > > iptables -F > > > iptables -X > > > iptables -Z > > > iptables -t nat -F > > > > > > ## Establecemos politica por defecto > > > iptables -P INPUT DROP > > > iptables -P OUTPUT DROP > > > iptables -P FORWARD DROP > > > iptables -t nat -P PREROUTING ACCEPT > > > iptables -t nat -P POSTROUTING ACCEPT > > > > > > #A nuestro firewall tenemos acceso total desde > > nuestra ip > > > iptables -A INPUT -s 192.168.0.2 -j ACCEPT > > > iptables -A OUTPUT -s 192.-j ACCEPT > > > > > > #Para el resto no hay acceso al firewall > > > iptables -A INPUT -s 0.0.0.0/0 -j DROP > > Te recomiendo poner esta regla por debajo de lo > que quieres aceptar > > > > > > > > > #Permitimos conexion de loopback > > > iptables -A INPUT -i lo -j ACCEPT > > > iptables -A OUTPUT -o lo -j ACCEPT > > > > > > # Aceptamos que vayan a puertos 80 > > > > > > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > > > iptables -A OUTPUT -p udp --sport 80 -j ACCEPT > > > > > > # Aceptamos que vayan a puertos https > > > iptables -A INPUT -p tcp --dport 443 -j ACCEPT && > > echo " regla-7 OK" > > > iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && > > echo " regla-8 OK" > > > > > > > > > # SALIDA FTP - Para conectar con FTPs > > > iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT > > && echo " regla-19 OK" > > Con la regla de arriba estas permitiendo la entrada > por puertos 20 y 21. No te lo recomiendo. Si tienes > problemas de conexion con FTPs te recomiendo usar el > modo pasivo > > > > iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT > > && echo " regla-20 OK" > > > > > > # Ahora hacemos enmascaramiento de la red local > > > # y activamos el BIT de FORWARDING (esto es > > imprescindible) > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 > > -o eth1 -j MASQUERADE > > > && echo " regla-22 OK" > > > > > > # Con esto permitimos hacer forward de paquetes en > > el firewall, o sea > > > # que otras maquinas puedan salir a traves del > > firewall > > > echo 1 > /proc/sys/net/ipv4/ip_forward && echo " > > regla-23 OK" > > > > > > #Permitimos acceso del exterior por ssh > > > > > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --sport 22 > > -j ACCEPT && echo " > > > reglas-24-1 OK" > > Te recomiendo que hagas como con el acceso al > puerto 80, es decir no especificar un -s 0.0.0.0 > > > iptables -A INPUT -s 0.0.0.0/0 -p udp --sport 22 > > -j ACCEPT && echo " > > > reglas-25-1 OK" > Lo mismo que arriba, incluso te diria que el puerto 22 > udp te sobra porque creo recordar que ssh se hace por > tcp > > > # Cerramos el rango de puerto bien conocido > > > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport > > 1:1024 -j DROP && echo " > > > regla-24 OK" > > lo mismo no hace falta que especifiques -s 0.0.0.0 > > > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport > > 1:1024 -j DROP && echo " > > > regla-25 OK" > > > > > IDEM > > Te falta una regla que permita el Forward desde la > interface interna a la externa algo asi como > > iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT > > esto es para permitir que los paquetes pasen de eth0 a > eth1 > > y falta que puedas salir a internet > iptables -A OUTPUT -j ACCEPT > > si no no se permite la salida de nada > > > > echo " OK. Verifique que lo que se aplica con: > > iptables -L -n" > > > > > > #Norma general > > > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 > > -o eth1 -j MASQUERADE > > > > > > #Habilitar el forwarding para que funcionen todas > > las reglas FORWARD, > > > POSTROUTING Y PREROUTING > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > > > #Lo grabo en un fichero > > > /etc/init.d/iptables save active4 > > > > > > # Fin del script > > Creo que con esto te valdr�a > > Si tienes alg�n problema dimelo y te mando un archivo > muy parecido al tuyo que esta funcionando en un > firewall que tengo. > > Un saludo > > > > > > > > > > > > > -- > > > To UNSUBSCRIBE, email to > > [EMAIL PROTECTED] > > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] > > .org > > > > > > > > > > > > > > > ----- Terminar mensaje de [EMAIL PROTECTED] ----- > > > > > > > > -- > > Jordi Rom�n Mejias > > Tecnico de SID > > Escoles Universitaries de Sabadell > > Universitat Aut�noma de > > Barcelona > > > > > > > > ______________________________________________ > Renovamos el Correo Yahoo!: �250 MB GRATIS! > Nuevos servicios, m�s seguridad > http://correo.yahoo.es > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
