El Jue 27 Oct 2005 16:30, Pablo Braulio escribió: > Hola. > Al final lo he dejado asà para asegurar el acceso a la LAN. > > I_EXT=eth0 > I_LAN=eth1 > I_DMZ=eth2 > > LAN=192.168.1.0/24 > DMZ=192.168.0.2 > > EQUIPO1=192.168.1.4 > EQUIPO2=192.168.1.2 > > echo -n "Activando reglas para interfaces: " > #I_EXT > iptables -A INPUT -i $I_EXT -m state --state > ESTABLISHED,RELATED -j > ACCEPT iptables -A OUTPUT -o $I_EXT -m state --state > NEW,ESTABLISHED,RELATED -j ACCEPT > > #De LAN al exterior > iptables -A FORWARD -i $I_LAN -s $LAN -d 0.0.0.0/0 -m state > --state > NEW,ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -o $I_LAN -s 0.0.0.0/0 -d $LAN -m state > --state > ESTABLISHED,RELATED -j ACCEPT > > # De DMZ al exterior. > iptables -A FORWARD -i $I_DMZ -s $DMZ -d 0.0.0.0/0 -m state > --state > NEW,ESTABLISHED,RELATED -j ACCEPT
Para que permitis conexiones nuevas desde la DMZ a internet? hay alguna razon especial para que permitas eso? > iptables -A FORWARD -o $I_DMZ -s 0.0.0.0/0 -d $DMZ -m state > --state > ESTABLISHED,RELATED -j ACCEPT > echo "hecho." > > echo -n "Asegurando LAN: " > # Permitiendo ssh de equipo1 y equipo2 a firewall. > iptables -A INPUT -i $I_LAN -p tcp -s $equipo1 -d 192.168.1.1 > --dport 560 > -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i $I_LAN -p tcp -s $equipo2 -d 192.168.1.1 > --dport 560 > -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > > iptables -A OUTPUT -o $I_LAN -p tcp -s 192.168.1.1 -d $equipo1 > --sport > 560 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -o $I_LAN -p tcp -s 192.168.1.1 -d $equipo2 > --sport > 560 -m state --state ESTABLISHED,RELATED -j ACCEPT > > echo "hecho." > > Lo que no he conseguido es crear nuevas reglas.
