El lun, 17-12-2007 a las 15:18 -0300, Sebastian Antunez Noguera escribió: > Estimados, debo configurar un firewall con Fedora Core 7 usando IPTABLES, en > el mismo server debo dar acceso a Internet a 15 usuarios, y el server de > Firewall debe tener el server de correo, web y DNS o sea todo en una mismo > server, ya que la empresa es pequeña no encontraron necesario invertir en un > equipo para web y correo en DMZ, si que todo debe ser en el mismo server de > firewall. > > El Script de IPTABLES que tengo es el siguiente: > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > #Politica por defecto > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > #Politica de Locahost > iptables -A INPUT -i lo -j ACCEPT > > # Port 25 - 53 - 80 y 110 > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT > > > #Salida de usuarios LAN > > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT > > # Denegación > iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP > > #BIT DE FORWARDING > iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE > > #Forward de Paquetes > echo 1 > /proc/sys/net/ipv4/ip_forward > > # Cerrado de Ports > iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp -dport 1:1024 -j DROP > iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp -dport 1:1024 -j DROP > > Les agradeceré su consejo para mejorar si es posible este script, o con lo > que muestro sería suficiente para esta red. > > Gracias > > SAN
Hola. te estarian faltando las politicas de -sport, para los forward. Saludos. mira esta es la mia en la que cierro solamente los forward, estero te sirva. #### Flush de Reglas iptables -F iptables -X iptables -Z iptables -t nat -F ### El aceptar como defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP ### Definir Interfaces export LAN=eth1 export WAN=eth0 ### Aceptar coneccion de lan lo y wan iptables -I INPUT 1 -i lo -j ACCEPT ### Reglas de NAT iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o ${WAN} -j MASQUERADE iptables -t nat -A PREROUTING -p tcp --dport 80 -i ${WAN} -j DNAT --to 10.0.1.200:80 iptables -t nat -A PREROUTING -p tcp --dport 22672 -i ${WAN} -j DNAT --to 10.0.1.65:22672 ##reglas forward iptables -A FORWARD -p tcp --dport 80 -j ACCEPT ##web iptables -A FORWARD -p tcp --sport 80 -j ACCEPT ##web iptables -A FORWARD -p tcp --dport 443 -j ACCEPT ##web iptables -A FORWARD -p tcp --sport 443 -j ACCEPT ##web iptables -A FORWARD -p tcp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 20 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 20 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 21 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 21 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 20 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 20 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 21 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 21 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 30000:30010 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 30000:30010 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 30000:30010 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 30000:30010 -d 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 30000:30010 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --sport 30000:30010 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 30000:30010 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p udp --dport 30000:30010 -s 200.29.72.170 -j ACCEPT ##ftp iptables -A FORWARD -p tcp --dport 25 -j ACCEPT ##mail iptables -A FORWARD -p tcp --sport 25 -j ACCEPT ##mail iptables -A FORWARD -p tcp --dport 995 -j ACCEPT ##mail iptables -A FORWARD -p tcp --sport 995 -j ACCEPT ##mail iptables -A FORWARD -p tcp --dport 110 -j ACCEPT ##mail iptables -A FORWARD -p tcp --sport 110 -j ACCEPT ##mail iptables -A FORWARD -p tcp --sport 465 -j ACCEPT ##mail iptables -A FORWARD -p tcp --dport 465 -j ACCEPT ##mail iptables -A FORWARD -p tcp --dport 22 -j ACCEPT ##ssh iptables -A FORWARD -p tcp --sport 22 -j ACCEPT ##ssh iptables -A FORWARD -p tcp --dport 66 -j ACCEPT ##ssh iptables -A FORWARD -p tcp --sport 66 -j ACCEPT ##ssh iptables -A FORWARD -p tcp --dport 2086 -j ACCEPT ##whm iptables -A FORWARD -p tcp --sport 2086 -j ACCEPT ##whm iptables -A FORWARD -p tcp --dport 2082 -j ACCEPT ##cpanel iptables -A FORWARD -p tcp --sport 2082 -j ACCEPT ##cpanel iptables -A FORWARD -p tcp --dport 2095 -j ACCEPT ##webmail iptables -A FORWARD -p tcp --sport 2095 -j ACCEPT ##webmail iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT ##messenger iptables -A FORWARD -p tcp --sport 1863 -j ACCEPT ##messenger iptables -A FORWARD -p tcp --dport 6891:6900 -j ACCEPT ##messenger iptables -A FORWARD -p tcp --sport 6891:6900 -j ACCEPT ##messenger iptables -A FORWARD -p tcp --dport 5222 -j ACCEPT ##jabber iptables -A FORWARD -p tcp --sport 5222 -j ACCEPT ##jabber iptables -A FORWARD -s 10.0.1.53 -j ACCEPT iptables -A FORWARD -d 10.0.1.53 -j ACCEPT iptables -A FORWARD -s 10.0.1.65 -j ACCEPT iptables -A FORWARD -d 10.0.1.65 -j ACCEPT iptables -A FORWARD -s 10.0.1.54 -j ACCEPT iptables -A FORWARD -d 10.0.1.54 -j ACCEPT iptables -A FORWARD -s 10.0.1.52 -j ACCEPT iptables -A FORWARD -d 10.0.1.52 -j ACCEPT ### Confirmar el bit de FORWARD echo 1 > /proc/sys/net/ipv4/ip_forward