Ayuda con IPTABLES

Imagen de fdvalero

Tema: 

Amigos de ecualug.
Tengo la siguiente configuracion en el server y quisiera que le hecharan un ojo.
Si hubiera algo mal o alguna recomendacion sera bien recibida.

eth0 ---> router
eth1 ---> red local

#!/bin/sh
echo "Flush de Reglas"
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

echo "Aplicando politicas de seguridad"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

echo "Permitiendo acceso del localhost"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

echo "Permitiendo acceso desde la red"
iptables -A INPUT -s 172.16.1.0/26 -j ACCEPT
iptables -A OUTPUT -d 172.16.1.0/26 -j ACCEPT

#echo "Permitiendo acceso desde nuestra IP"
iptables -A INPUT -s 99.121.xx.xxx -j ACCEPT
iptables -A OUTPUT -d 99.121.xx.xxx -j ACCEPT

iptables -t nat -A POSTROUTING -j -o eth1 MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.1.0/26 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 172.16.1.0/26 -o eth0 --dport 25 -j MASQUERADE

echo "Abriendo puestos necesarios"
iptables -A INPUT -s 172.16.1.2 -d 172.16.1.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -s 172.16.1.10 -d 172.16.1.1 -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -d 172.16.1.1 -s 127.0.0.1 -j ACCEPT

echo "Abriendo puerto 25"
iptables -A INPUT -d 172.16.1.10 -p tcp --dport 25 -j ACCEPT

echo "DNS"
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT

echo "Apache"
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

echo "DHCP"
iptables -A INPUT -i eth1 -p udp -m state --state NEW -m udp --sport 67:68 --dport 67:68 -j ACCEPT

echo "SQUID"
iptables -A INPUT -m state --state NEW -m tcp -p tcp -i eth1 --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

Gracias de antemano

Saludos
Fidel

Comentarios

Las reglas: iptables -P INPUT

Imagen de deathUser

Las reglas:


iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Le dicen a iptables que acepte todos los paquetes, por lo que no estás bloqueando nada, si no quieres eso, cambia dichas reglas por algo como:


iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Luego con las reglas posteriores vas permitiendo el acceso solo a los protocolos y puertos que te interesan.

bye
;)

Asi lo deje

Imagen de fdvalero

Lo puse de esta forma y todo bien hasta el momento

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

Usando GNU es el unico modo de ser libre...
Linux User 433411

Con esta definición de

Imagen de iknaxio

Con esta definición de política DROP por defecto en FORWARD, tienes que tener muy presente permitir la comunicación en dos vías al momento de usar reglas de este tipo.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Si amigo....

Imagen de fdvalero

Si eso me percate y entre la primeras lineas despues de permitir el acceso del localhost la linea que le segue es la siguiente:

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Espero que este bien, bueno al menos me funciona....

Usando GNU es el unico modo de ser libre...
Linux User 433411