A continuación te envio una configuración de cortafuegos que gasto yo: #!/bin/bash iptables -F && echo 1 iptables -t nat -F && echo 2 iptables -Z && echo 3 iptables -X && echo 4 # iptables -P INPUT DROP && echo 5 iptables -P OUTPUT DROP && echo 6 iptables -P FORWARD DROP && echo 7 # #/sbin/modprobe ip_conntrack_ftp # iptables -A OUTPUT -o lo -j ACCEPT && echo 8 iptables -A INPUT -i lo -j ACCEPT && echo 9 # iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 10 iptables -A INPUT -p udp --dport 1024:65535 --sport 53 -m state --state ESTABLISHED -j ACCEPT && echo 11 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 12 iptables -A INPUT -p tcp --dport 1024:65535 --sport 22 -m state --state ESTABLISHED -j ACCEPT && echo 13 # iptables -A OUTPUT -p tcp --dport 1024:65535 --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 14 iptables -A INPUT -p tcp --sport 1024:65535 --dport 25 -m state --state ESTABLISHED -j ACCEPT && echo 15 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 16 iptables -A INPUT -p tcp --dport 1024:65535 --sport 80 -m state --state ESTABLISHED -j ACCEPT && echo 17 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 18 iptables -A INPUT -p tcp --dport 1024:65535 --sport 443 -m state --state ESTABLISHED -j ACCEPT && echo 19 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 20 iptables -A INPUT -p tcp --dport 1024:65535 --sport 5900 -m state --state ESTABLISHED -j ACCEPT && echo 21 # iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21012 -m state --state NEW,ESTABLISHED -j ACCEPT && echo 22 iptables -A INPUT -p tcp --dport 1024:65535 --sport 21012 -m state --state ESTABLISHED -j ACCEPT && echo 23 # iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT && echo 24 iptables -A INPUT -p icmp -m state --state ESTABLISHED -j ACCEPT && echo 25 # #iptables -A OUTPUT -p tcp --dport 20:21 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT & echo 20 #iptables -A INPUT -p tcp --sport 20:21 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT & echo 21 # #iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT & echo 22 #iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT && echo 23
Por defecto alguna regla está comentada porque la final no la gasto, si tienes alguna duda me lo comentas. El 1 de julio de 2012 15:51, Camaleón <[email protected]> escribió: > El Sun, 01 Jul 2012 13:53:51 +0200, M.Vila escribió: > > (ese html...) > > > Gracias por la ayuda y la documentación. Aún ando explorando manuales > > :-P Antes de contactar con vosotros había probado exitosamente cerrar > > todo el tráfico de entrada y aceptar el de salida, no contento estaba > > intentando hacer un "drop all" ahí es donde no consigo que me funcione > > :-\ . > > No he seguido este hilo pero ¿por qué no instalas algún "frontend" para > iptables? Suelen ser más inteligibles a la hora de configurarlos y > aprenderás igual porque las reglas quedarán registradas y podrás > volcarlas con "iptables -L". > > Aquí tienes una buena selección: > > http://wiki.debian.org/Firewalls > > > Me parecia muy complicado el redireccionamiento o filtrado de puertos > > solo para un programa, pues a parte de puertos principales también hay > > infinidad de puertos secundarios y no conseguí hacerlo funcionar. > > Alguien ha echo un drop all en un ordenador personal y ha conseguido que > > funcione para todo el sistema. > > ¿Eso era una pregunta? :-) > > Si es así, ¿a qué te refieres con "hacerlo funcionar para todo el > sistema"? > > > Hay forma de hacer funcionar una regla para un rango y no tener que usar > > ip estática siempre en el pc en cuestión. > > ¿Es eso otra pregunta? :-) > > Si es así, sí claro, puedes filtrar los paquetes sobre un rango completo > de direcciones. > > > He encontrado siempre el mismo ejemplo (iptables -A INPUT -s > > 192.168.1.0/24 -j ACCEPT) pero da error al activar el script, no > > acepta la máscara de red. > > Si no recuerdo mal, cuando estás jugando con iptables el orden de las > reglas importa y mucho. Pon el comando que ejecutas y la salida, así como > la lista de reglas que tienes cargadas. > > Saludos, > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: http://lists.debian.org/[email protected] > >
