--- Graciela Porras <[EMAIL PROTECTED]> escribi�:
>
> Hola!!
Hola Gabriela
> Estoy configurando un firewall con iptables pero
> tengo algunas dudas.
> La politica por defecto que establezco es DROP.
> Aunque tengo acceso
> desde mi red y desde el firewall a internet, creo
> que no est� bien. La
> configuracion que hice fue la siguiente.
>
> #!/bin/sh
> ## SCRIPT DE IPTABLES
> ## GRACIELA
>
>
> #Borrar la tabla anterior
> iptables -t filter --flush
> iptables -t nat --flush
> iptables -t mangle --flush
> iptables -t filter --delete-chain
> iptables -t nat --delete-chain
> iptables -t mangle --delete-chain
> /etc/init.d/iptables clear
>
> echo -n Aplicando reglas de firewall ...
>
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> #A nuestro firewall tenemos acceso total desde
> nuestra ip
> iptables -A INPUT -j ACCEPT
> iptables -A OUTPUT -j ACCEPT
> iptables -A INPUT -s 192.168.0.2 -j ACCEPT
> iptables -A OUTPUT -s 192.168.0.2 -j ACCEPT
> iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
> iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
>
> #Permitimos conexion de loopback
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Aceptamos que vayan a puertos 80
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
>
> # Aceptamos que vayan a puertos https
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT &&
> echo " regla-7 OK"
> iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT &&
> echo " regla-8 OK"
>
> #Aceptamos que consulten las DNS
> iptables -A FORWARD -i eth0 -p tcp --dport 53 -j
> ACCEPT
> iptables -A FORWARD -i eth0 -p udp --dport 53 -j
> ACCEPT
>
> # SALIDA FTP - Para conectar con FTPs
> iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT &&
> echo " regla-19 OK"
> iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT &&
> echo " regla-20 OK"
>
> # Ahora hacemos enmascaramiento de la red local
> # y activamos el BIT de FORWARDING (esto es
> imprescindible)
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o
> eth1 -j MASQUERADE
> && echo " regla-22 OK"
>
> # Con esto permitimos hacer forward de paquetes en
> el firewall, o sea
> # que otras maquinas puedan salir a traves del
> firewall
> echo 1 > /proc/sys/net/ipv4/ip_forward && echo "
> regla-23 OK"
>
> #Permitimos acceso del exterior por ssh
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
>
> #Para el resto no hay acceso al firewall
> iptables -A INPUT -s 0.0.0.0/0 -j DROP
>
> # Cerramos el rango de puerto bien conocido
> iptables -A INPUT -p tcp --dport 1:1024 -j DROP &&
> echo " regla-24 OK"
> iptables -A INPUT -p udp --dport 1:1024 -j DROP &&
> echo " regla-25 OK"
>
> echo " OK. Verifique que lo que se aplica con:
> iptables -L -n"
>
> #Norma general
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o
> eth1 -j MASQUERADE
>
> #Habilitar el forwarding para que funcionen todas
> las reglas FORWARD,
> #POSTROUTING Y PREROUTING
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> #Lo grabo en un fichero
> /etc/init.d/iptables save active4
>
> # Fin del script
>
>
> El problema es que necesito tener acceso desde el
> exterior por ssh a mi
> red y si me conecto por ssh a la direccion de mi
> router no tengo acceso
> y no se como hacerlo, tengo que especificar en la
> regla del ssh la
> direccion del router a la que se tiene que conectar
> la gente desde el
> exterior o como hago?, porque tal y como est� ahora
> parece que a donde
> se tienen que conectar desde el exterior es al
> firewall y eso no estaria
> bien.
> Por otro lado aunque lo que te muestro a
> continuacion me permite
> conectarme a internet yo creo que no esta bien
> porque despues de
> establecer la politica por defecto a DROP las
> primeras reglas que
> muestro son:
> iptables -A INPUT -j ACCEPT
> iptables -A OUTPUT -j ACCEPT
> si las coloco en otro lugar ya no me funciona el
> firewall y por lo que
> entiendo yo tal y como est� es como si la politica
> por defecto ya no
> fuera DROP porque como ya acepto INPUT y OUTPUT al
> principio.
Te han pasado unos cuantos links de iptables bastante
interesantes, hechalos un vistazo cuando puedas que
est�n muy bien. De todas formas para ayudarte un
poquito que siempre viene bien que alguien te heche
una mano, lo se por experiencia, mira el archivo que
te adjunt� en el anterior mail, no es perfecto ni
mucho menos, pero a lo mejor te ayuda a entender mejor
iptables.
en cuanto a lo redirigir un puerto tienes que a�adir
dos reglas como estas
iptables -A FORWARD -j ACCEPT -i $INET_IFACE -o
$PRIVATE_IFACE -p tcp --dport 22
iptables -t nat -A PREROUTING -p tcp --dport 210 -i
$INET_IFACE -j DNAT --to IP_A_LA_QUE_REDIRIGIR:22
Con esto, la gente se tendr�a que conectar por ssh a
la direccion externa de tu red, con lo que se
encontrar�an con tu router. En el router especificas
una regla que mande el puerto ssh a tu firewall, y tu
firewall, con las dos reglas que te acabo de comentar
redirigira la petici�n al equipo deseado
> Saludos.
Un saludo
>
>
>
> --
> To UNSUBSCRIBE, email to
> [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
>
>
______________________________________________
Renovamos el Correo Yahoo!: �250 MB GRATIS!
Nuevos servicios, m�s seguridad
http://correo.yahoo.es
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
