Mario: Yo particularmente no pondria OUTPUT DROP. El resto es muy particular, en mi caso solo dejo abiertos el 22 y el 80(ssh y http). Saludos. Roldyx.
El Jue 10 Mar 2005 00:05, Mario Ramirez escribi�: > Masters: > Estoy armando una experiencia de laboratorio con 2 gateways con Linux: > uno con Woody y el otro con Sarge. Estos tienen un firewall mediante > iptables para hacer NAT y dejar pasar ciertos servicios. La idea es que > me ayuden y propongan mas reglas de modo de hacer un firewall de lujo. > S� que iptables permite inspeccion de paquetes on line y que las > politicas por defecto deben ser DROP. Mi consulta apunta a que > recomendaciones me darian uds. para mejorar la seguridad del firewall y > dejarlo mas robusto (por ejemplo, verificacion de estados de las > conexiones, ciertos tipos de ataques particulares y ciertas condiciones > que aun desconozco). Agradecere vuestros aportes con respecto a mas > reglas que lo mejoren . Les envio mi script: > --------------------------------------------------------------------------- >------------ > > #!/bin/bash > > echo -n Aplicando reglas de Firewall > > #Borrar cualquier configuracion antigua > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > iptables -t nat -X > iptables -t nat -Z > > #Politicas por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > #Establecer las reglas de NAT > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > iptables -A FORWARD -i eth0 -o eth1 -d 10.1.1.0/24 -j ACCEPT > iptables -A FORWARD -i eth1 -o eth0 -s 10.1.1.0/24 -j ACCEPT > > #Habilitar el forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > #Habilitar en el localhost > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > #Habilitar pings > iptables -A INPUT -p icmp -j ACCEPT > iptables -A OUTPUT -p icmp -j ACCEPT > > #Apertura servicio web > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT > > #Redireccion DNAT a equipo de la LAN > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to > 10.1.1.2 > > #Habilitar APT-GET > #Navegacion web > iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT > iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT > #DNS > iptables -A INPUT -p udp --sport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > --------------------------------------------------------------------------- >------------ > > Saludos y gracias, > Mario Ramirez
