Gracias Angel por responder, tengo pongo algunas cosas mas de porque he hecho algunas cosas.
> > #!/bin/sh > > > > #Borramos antiguas reglas del firewall > > iptables -F INPUT > > iptables -F FORWARD > > iptables -t nat -F > > iptables -t nat -F PREROUTING > > iptables -t nat -F POSTROUTING > > > > #Aceptamos todo lo que sale > > iptables -P OUTPUT ACCEPT > > > > #Habilitamos masquerading (para la lan que hay > > #detras del server) > > iptables -t nat -A POSTROUTING -o eth0 -j > > MASQUERADE > > yo especificaria tambien la interface de entrada > y/o la red/mascara Vale, esto lo tendre en cuenta > > echo 1 > /proc/sys/net/ipv4/ip_forward > > > > #Aceptamos paquetes de conexiones ya > > #establecidas > > iptables -A INPUT -p TCP -m state --state > > RELATED -j ACCEPT iptables -A INPUT -p TCP -m > > state --state ESTABLISHED -j ACCEPT > > > lo podes poner en una sola regla Eso ya me di cuenta en otro post que me han comentado en otra lista, thx :) > > #Aceptamos paquetes ICMP > > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT > > > aca tenes que ser mas granular y definir que > tipos de paquetes ICMP dejas pasar mmm no sabia esto, simplemente quiero que mi maquina responda a los pings, como podria especificarlo ??? > > #Aceptamos conexiones al 53, 25, y 110 > > iptables -A INPUT -i eth0 -p TCP --dport 53 -m > > state --state NEW -j ACCEPT iptables -A INPUT > > -i eth0 -p UDP --dport 53 -m state --state NEW > > -j ACCEPT iptables -A INPUT -i eth0 -p TCP > > --dport 25 -m state --state NEW -j ACCEPT > > iptables -A INPUT -i eth0 -p TCP --dport 110 > > -m state --state NEW -j ACCEPT > > > Tenes un servidor de nombres y le das acceso a > todo el mundo? (internet) lo mismo para el pop mmmm tengo un servidor de nombres, supongo que la gente tendra que hacer consultas en mi propio servidor para los respectivos subdominios que tenga no ??? ftp.midominio.com pop3.mmidominio.com.. etc. Y para eso tengo que dejarles pasar por el 53 no ??? corrigeme si me equivo. Con respecto al 110, si, no hay problema ya que esta por pass, yo mismo podria consultarlo desde fuera de mi red. > > > > #Aceptamos conexiones al 22, 5901 y 6001 solo > > #de una ip > > iptables -A INPUT -i eth0 -p TCP --dport 22 -s > > XX.XX.XX.XX -m state --state NEW -j ACCEPT > > iptables -A INPUT -i eth0 -p TCP --dport 5901 > > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT > > iptables -A INPUT -i eth0 -p TCP --dport 6001 > > -s XX.XX.XX.XX -m state --state NEW -j ACCEPT > > > > #Redirecciono el 2022 hacia el puerto 22 de un > > #pc de mi lan interna y lo loggeo > > iptables -t nat -A PREROUTING -i eth0 -p TCP > > --dport 2022 -j LOG --log-prefix "ssh_2022: " > > iptables -t nat -A PREROUTING -i eth0 -p TCP > > --dport 2022 -j DNAT --to 192.172.10.25:22 > > > > #Rechazamos conexiones al 113, asi evitamos > > #que expiren y tarden en responder algunos > > #servicios. > > iptables -A INPUT -i eth0 -p TCP --dport 113 > > -j REJECT > > > > #Rechazamos paquetes de conexiones nuevas > > iptables -A INPUT -i eth0 -m state --state > > NEW,INVALID -j DROP > > > con la politica en drop esto esta de mas > La politica de INPUT no la pongo en drop ya que hay otra interfaz, la eth1 que va a mi lan interna a la cual no le he prohibido nada, por lo tanto creo que es mejor asi. No obstane, en un futuro lo optimizare y pondre la politica en drop tanto para input, como output y forward, y solo dare acceso a los servicios mas utilizados. > > #Rechazamos paquetes de forwarding de > > #conexiones no establecidas > > iptables -A FORWARD -i eth0 -m state --state > > NEW,INVALID -j DROP > > > > #Rechazamos todo lo demas > > #iptables -A INPUT -i eth0 -j DROP > > > idem > > > > Te falta permitirle a la propia maquina > establecer conexiones seguro ??? la politica de OUTPUT esta en que acepte todo, por tanto la maquina desde dentro puede hacer cualquier conexion al exterior, nadie se lo impide. > > iptables -A INPUT -i lo -j ACCEPT > > > Saludos. > > > > > Supongo que habra mas comentarios, lo mio fue > solo una ojeadita nada mas Tenes muchas mas > opciones para filtrar mas fino, pero es cuestion > de buscar y leer Gracias por todo.