Un Saludo:
Mi estimado he creado mi script firewall siendo eth0 internet y eth1 LAN: #!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para proteger la propia máquina con DROP por defecto echo -n Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto: DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO negado. ## Debemos decir de manera explicita qué es lo que queremos abrir # Operar en localhost sin limitaciones /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # A nuestra IP le dejamos todo iptables -A INPUT -s 172.16.1.1 -j ACCEPT iptables -A OUTPUT -d 192.168.1.2 -j ACCEPT # Permitimos trafico al web. /sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT # Permitimos que la maquina pueda salir a la web /sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT # Ya tambien a webs seguras /sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT # Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas /sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT /sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # Reglas necesarias para FTP pasivo y activo. Se permiten conexiones entrantes YA establecidas /sbin/iptables -A INPUT -p tcp -m tcp --sport 1194 -m state --state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT # Permitimos la consulta a un primer DNS /sbin/iptables -A INPUT -s 200.48.225.130 -p udp -m udp --sport 53 -j ACCEPT /sbin/iptables -A OUTPUT -d 200.48.225.130 -p udp -m udp --dport 53 -j ACCEPT # Permitimos la consulta a un segundo DNS /sbin/iptables -A INPUT -s 200.48.225.146 -p udp -m udp --sport 53 -j ACCEPT /sbin/iptables -A OUTPUT -d 200.48.225.146 -p udp -m udp --dport 53 -j ACCEPT #Permitir trafico de la lan al firewall iptables -A INPUT -s 172.16.1.0/24 -i eth1 -j ACCEPT #Permitir trafico de la lan al webmin iptables -A INPUT -s 172.16.1.0/24 -p tcp --dport 10000 -j ACCEPT #redireccionamiento Proxy transparent /sbin/iptables t nat -A PREROUTING i eth1 p tcp dport 80-j REDIRECT to-port 172.16.1.1:3128 # Con esto protegemos los puertos reservados y otros well-known /sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP /sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP echo " OK . Verifique que lo que se aplica con: iptables -L -n" Uso CENTOS 5.2, el tema es q lo aplico parece q se aplica, ejecuto "sh firewall.sh" ejecuto service iptables save, reinicio la pc y las reglas se borran! apart, el proxy transparente no me funciona, en /etc/squid/squid.conf coloco "http_port 172.16.1.1:3128 transparent" pero no navega, tengo q ir a la pc herramientas proxy 172.16.1.1 puerto 3128 y recien navega, COMO PUEDO HACER para se almacenen las reglas en iptables y el proxy sea transparente? o cual es mi error? Salu2! Ken Salinas
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
