Reglas de IPtables

Forums: 

Estimados,

Tengo un servidor web que estará con una ip publica con dnat y no estoy seguro si las reglas de iptables son las adecuadas. Implemente las siguientes reglas.

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

iptables -A INPUT -p icmp -s 10.10.2.0/23 -j ACCEPT

iptables -A INPUT -p tcp -s 10.10.2.0/23 --dport 22 -j ACCEPR
iptables -A INPUT -p tcp --dport 8082 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

No se si es =ta bien me pueden dar una mano?

El dnat lo realizo con un

El dnat lo realizo con un firewall fisico, no es el mismo servidor web. por eso me gustaria saber si las reglas del iptables que puse en el servidor web son correctas o estan mal o me falta poner algo mas.

No importa cual sea el

Imagen de deathUser

No importa cual sea el firewall, si puedes hacer DNAT, es seguro que podrás hacer port forwarding sin problemas, lo más recomendable es forwardear solo los puertos de los servicios que vas a usar, deberías decir que servicios piensas usar en ese servidor ...

bye
;)

Es una aplicacion web, que se

Es una aplicacion web, que se ingresa por el puerto 8082, por eso quiero dejar solo permisos para que puedan acceder via web desde el mundo.

En las reglas de iptables puse tambien el ssh para ingresar desde mi red lan. En el borde tengo un firewall fisico que solo hago un nateado a la ip real del servidor web.

Pues no natees todo el

Imagen de deathUser

Pues no natees todo el servidor hacia el Internet, solo forwardea el puerto 8082 del firewall hacia el servidor y si internamente igual quieres ponerle reglas, cierra todo (default policy DROP) y abre solo los puertos que necesitas 22 y 8082.

bye
;)