Ayuda con un sript de iptables.

Pablo Braulio Fri, 26 Nov 2004 03:13:05 -0600

Hola.
Necesito un poco de ayuda para configurar mi cortafuegos. No consigo dar
con la configuración adecuada. No tengo mucha experiencia en iptables,
como podréis ver.


Voy a explicar lo que quiero hacer.

Tengo un equipo con dos tarjetas de red (eth0=externa, eth1=interna).
Quiero configurar NAT para que puedan salir los demás equipos a través
de este a internet, y sólamente quiero dar acceso a este equipo desde el
exterior mediante ssh. Lo tenía hecho con una politica por defecto
ACCEPT, y funcionaba correctamente. Pero quiero ponerle una política
DROP, para mayor seguridad.

Este es el script que he hecho y que no funciona:

#!/bin/bash

        

        #Activamos el IP forwarding
        echo "1" > /proc/sys/net/ipv4/ip_forward
        
        #Borrado de reglas.
        echo -n "Borrando reglas.."
        iptables -F
        iptables -X
        iptables -Z
        iptables -t nat -F
        echo -n "Hecho."
        
        #Politica por defecto.
        echo -n "Aplicando politica..."
        iptables -P INPUT DROP
        iptables -P OUTPUT DROP
        iptables -P FORWARD DROP
        echo -n "Hecho."
        
        #Nat
        echo -n "Activando NAT..."
        iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -o
eth0
-j MASQUERADE
        echo -n "Hecho."
        
        #PING a la máquina
        echo -n "Ping a la máquina..."
        iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
        echo -n "Hecho."
        
        echo -n "Aplicando reglas del firewall ..."
        #ssh.
        iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW
-j
ACCEPT
        
        iptables -A OUTPUT -o eth0 -j ACCEPT
        
        # Aceptamos paquetes de una conexión ya establecida
         iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

        # Rechazamos los de conexiones nuevas
         iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

        # Rechazamos conexiones de forwarding no establecidas
         iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j
DROP
         
         
        
        echo -n "Hecho."

Una última pregunta. Pese a que mi equipo no es un servidor web, ni de
correo, ¿debo abrir los puertos 80, 25 y 110 para poder accder a
internet y leer mi correo (servidor externo)?.

Espero vuestra ayuda. Gracias.
-- 
Saludos.

Pablo Braulio.

Linux user number 354599
Fingerprint: F8C9 58DB 89A2 1522 D9C9  28F9 4A2D 7C25 0CD9 0907


El ladrón mas temido es aquel que roba silenciosamente. 
No descuides tu privacidad.
¡Invierte en tu seguridad!

signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente

Ayuda con un sript de iptables.

Responder a