Tema:
Amigos de ecualug.
Tengo la siguiente configuracion en el server y quisiera que le hecharan un ojo.
Si hubiera algo mal o alguna recomendacion sera bien recibida.
eth0 ---> router
eth1 ---> red local
#!/bin/sh
echo "Flush de Reglas"
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "Aplicando politicas de seguridad"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo "Permitiendo acceso del localhost"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Permitiendo acceso desde la red"
iptables -A INPUT -s 172.16.1.0/26 -j ACCEPT
iptables -A OUTPUT -d 172.16.1.0/26 -j ACCEPT
#echo "Permitiendo acceso desde nuestra IP"
iptables -A INPUT -s 99.121.xx.xxx -j ACCEPT
iptables -A OUTPUT -d 99.121.xx.xxx -j ACCEPT
iptables -t nat -A POSTROUTING -j -o eth1 MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.1.0/26 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 172.16.1.0/26 -o eth0 --dport 25 -j MASQUERADE
echo "Abriendo puestos necesarios"
iptables -A INPUT -s 172.16.1.2 -d 172.16.1.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -d 172.16.1.1 -s 127.0.0.1 -j ACCEPT
echo "Abriendo puerto 25"
iptables -A INPUT -d 172.16.1.10 -p tcp --dport 25 -j ACCEPT
echo "DNS"
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
echo "Apache"
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
echo "DHCP"
iptables -A INPUT -i eth1 -p udp -m state --state NEW -m udp --sport 67:68 --dport 67:68 -j ACCEPT
echo "SQUID"
iptables -A INPUT -m state --state NEW -m tcp -p tcp -i eth1 --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Gracias de antemano
Saludos
Fidel
Comentarios
Las reglas: iptables -P INPUT
Las reglas:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Le dicen a iptables que acepte todos los paquetes, por lo que no estás bloqueando nada, si no quieres eso, cambia dichas reglas por algo como:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Luego con las reglas posteriores vas permitiendo el acceso solo a los protocolos y puertos que te interesan.
bye
;)
Si usas ACCEPT como política
Si usas ACCEPT como política de acceso por defecto, al menos deberias hacer DROP de los puertos del sistema (1-1024)
"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net
Asi lo deje
Lo puse de esta forma y todo bien hasta el momento
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Usando GNU es el unico modo de ser libre...
Linux User 433411
Con esta definición de
Con esta definición de política DROP por defecto en FORWARD, tienes que tener muy presente permitir la comunicación en dos vías al momento de usar reglas de este tipo.
"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net
Si amigo....
Si eso me percate y entre la primeras lineas despues de permitir el acceso del localhost la linea que le segue es la siguiente:
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Espero que este bien, bueno al menos me funciona....
Usando GNU es el unico modo de ser libre...
Linux User 433411