SlideShare ist ein Scribd-Unternehmen logo

Firewall iptables

C
cercer

Pequeño tutorial de una configuración básica para un firewall "de tres patas" usando Iptables.

Technologie
1 von 6
Downloaden Sie, um offline zu lesen
Firewall con Iptables Arturo Borrero González arturo.borrero.glez@gmail.com Febrero 2011 Documento bajo licencia “"CC-BY-SA 3.0"”. Usted es libre de copiar, modificar y redistribuir este documento, bajo la misma licencia. Este documento o uno muy similar puede encontrarse en http://www.ral-arturo.blogspot.com/.
Firewall con iptables Febrero 2011 INTRODUCCIÓN Este documento trata de explicar una manera (de las muchas que hay) de montar un firewall “de tres patas” para alojar una configuración de red similar a la que puede verse en el esquema de abajo. El software usado es Debian Squeeze (amd64) e iptables (incluidas en el kernel de linux). Arturo Borrero González Pag. 2/6
Firewall con iptables Febrero 2011 CUESTIONES PREVIAS Los elementos principales son la máquina con 3 interfaces que hace de router y los dos servidores en la DMZ. Vamos a suponer unas cuantas cuestiones previas, que nuestro firewall debe cumplir: 1. Los clientes de la red local deben tener acceso a internet transparente. Todos los servicios y protocolos. 2. En SERV1 hay un servidor WEB y SSH. En SERV2 hay un servidor SSH y un servidor WEB escuchando en el puerto 1312. 3. Aunque el router que nos conecta a internet hace NAT entre la dirección pública y nuestra red privada, es necesario hacer otra vez NAT en la interfaz eth1, dado que no podemos modificar la tabla de encaminamientos de router. 4. El la máquina router servirá SSH a internet a través del puerto 22220 y por el resto de interfaces por el puerto 22. 5. El puerto 22 de la máquina router será reenviado al puerto 22 de SERV2. 6. Debe de estar controlado el tráfico entrante/saliente de la DMZ hacia la LAN para evitar sorpresas. En el ejemplo que voy a mostrar vamos a crear un script para el servicio en /etc/init.d/. Este script nos permitirá alternar rápidamente entre poner y quitar el firewall, dejando siempre las reglas de encaminamiento y redirecciones intactas. El script es el siguiente (debe tener permisos de ejecución): /etc/init.d/iptables #!/bin/bash RETVAL=0 # Función iniciar firewall start() { echo "Adding hard firewall rules..." # fichero con reglas de iptables de firewall restrictivo sh /etc/iptables_close.conf RETVAL=0 } # Funcioón detener firewall stop() { echo "Removing hard firewall rules..." # fichero con reglas de iptables de firewall abierto sh /etc/iptables_open.conf RETVAL=0 } # Analizando parámetro recibido case $1 in start) start ;; stop) Arturo Borrero González Pag. 3/6
Firewall con iptables Febrero 2011 stop ;; restart) stop start ;; status) /sbin/iptables -L /sbin/iptables -t nat -L RETVAL=0 ;; *) echo "Usage: firewall {start|stop|restart|status}" RETVAL=1 esac exit Para añadir el script de init.d al arranque del sistema y que nuestro debian lo adapte, tendremos que hacer: #uptade-rc.d /etc/init.d/iptables defaults EL SCRIPT DE IPTABLES Ahora tendremos que crear los siguientes ficheros de configuración de iptables. Uno con las reglas de encaminamiento y no las de firewall y otro con ambas. /etc/iptables_open.conf #!/bin/bash # Variables IF_INET='eth1' IF_LAN='eth2' IF_DMZ='eth0' IP_ROUTER_INET='192.168.0.2' IP_ROUTER_DMZ='192.168.2.1' IP_ROUTER_LAN='192.168.1.1' IP_SERV1='192.168.2.150' IP_SERV2='192.168.2.151' RED_LAN='192.168.1.0/24' RED_DMZ='192.168.2.0/24' # Borrado de reglas anteriores iptables -F iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t filter -F # Politica por defecto Arturo Borrero González Pag. 4/6
Firewall con iptables Febrero 2011 iptables -P FORWARD ACCEPT ################## # Nat y redirecciones # ################## # Nat en la interfaz eth1 hacia internet iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.2 # Redirección de puertos para SERV1 (desde internet) a web iptables -t nat -A PREROUTING -i $IF_INET -p tcp --dport 80 -j DNAT --to-destination 192.168.2.150:80 # Redirecciones de puertos para SERV2 (desde cualquier sitio) a web iptables -t nat -A PREROUTING -i $IF_INET -p tcp --dport 1312 -j DNAT --to-destination 192.168.2.151:1312 iptables -t nat -A PREROUTING -i $IF_LAN -p tcp --dport 80 -d 192.168.2.151 -j DNAT --to-destination 192.168.2.151:1312 # El puerto 22 recibido desde internet será redireccionado a SERV2 iptables -t nat -A PREROUTING -p tcp -i $IF_INET --dport 22 -j DNAT --to-destination 192.168.2.151:22 A continuación, el fichero con la configuración de iptables “fuerte”: /etc/iptables_close.conf #!/bin/bash # Variables IF_INET='eth1' IF_LAN='eth2' IF_DMZ='eth0' IP_ROUTER_INET='192.168.0.2' IP_ROUTER_DMZ='192.168.2.1' IP_ROUTER_LAN='192.168.1.1' IP_SERV1='192.168.2.150' IP_SERV2='192.168.2.151' RED_LAN='192.168.1.0/24' RED_DMZ='192.168.2.0/24' # Borrado de reglas anteriores iptables -F iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t filter -F ################# # Nat y redirecciones # ################# # Ejecuto el fichero de iptables_open.conf, que tiene la configuración de NAT y redirecciones. sh /etc/iptables_open.conf ########## # Firewall # ########## # Politicas por defecto iptables -P FORWARD DROP Arturo Borrero González Pag. 5/6
Firewall con iptables Febrero 2011 # Se permite el trafico TCP desde internet a la DMZ (web, ssh) iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 80 -d $IP_SERV1 -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 22 -d $IP_SERV2 -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 1312 -d $IP_SERV2 -j ACCEPT # Se permite el tráfico TCP desde la DMZ a internet (web, ssh) iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 80 -s $IP_SERV1 -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 22 -s $IP_SERV2 -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 1312 -s $IP_SERV2 -j ACCEPT # Podriamos especificar puertos concretos como: #80 http, 443 https, 143 imap, 220 imap3, 993 imap3, 110 pop3, 995 pop3s, 110 pop3 iptables -t filter -A FORWARD -i $IF_INET -p tcp -d $RED_LAN -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p udp --dport 1024: -d $RED_LAN -j ACCEPT # Se permite el tráfico TCP/UDP desde LAN a internet iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p tcp --sport 1024: -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p udp --dport 53 -j DROP iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p udp --sport 1024: -j ACCEPT # Se permite el tráfico TCP desde LAN a DMZ iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $IP_SERV1 -p tcp --dport 80 -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $IP_SERV2 -p tcp --dport 1312 -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $RED_DMZ -p tcp --dport 22 -j ACCEPT # Se permite el tráfico TCP desde DMZ a LAN iptables -t filter -A FORWARD -i $IF_DMZ -s $IP_SERV1 -d $RED_LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -s $IP_SERV2 -d $RED_LAN -p tcp --sport 1312 -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -s $RED_DMZ -d $RED_LAN -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT Tendremos que gestionar los permisos adecuados de lectura/escritura/ejecución para estos ficheros. Copiando el script y sustituyendo las variables puede adaptarse rápida y fácilmente a las necesidades de otra red u otra configuración similar. Los firewall con Iptables pueden llegar a ser muy restrictivos y muy concretos en el tráfico que se permite/deniega. Esta es una configuración bastante rápida y permisiva, pero eficaz como punto de partida para un ajuste mucho más fino. Arturo Borrero González Pag. 6/6

Empfohlen

Ip tables manual
Ip tables manualIp tables manual
Ip tables manualSttOrm sindef
 
Genaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro Rodriguez
 
Config ciscos
Config ciscosConfig ciscos
Config ciscossantiagopinto21
 
2.2.4.11 lab configuring switch security features
2.2.4.11 lab configuring switch security features2.2.4.11 lab configuring switch security features
2.2.4.11 lab configuring switch security featuresJessica Soliz Catari
 
Firewall
FirewallFirewall
Firewallpablorattin
 
Practica 1 iptables
Practica 1 iptablesPractica 1 iptables
Practica 1 iptables1 2d
 
1.3.1.3 packet tracer
1.3.1.3 packet tracer1.3.1.3 packet tracer
1.3.1.3 packet tracerEdwin Gamboa
 
5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark
5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark
5.2.1.8 lab observing arp with the windows cli, ios cli, and wiresharkhefloca
 

Empfohlen

Ip tables manual
Ip tables manualIp tables manual
Ip tables manualSttOrm sindef
 
Genaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro Rodriguez
 
Config ciscos
Config ciscosConfig ciscos
Config ciscossantiagopinto21
 
2.2.4.11 lab configuring switch security features
2.2.4.11 lab configuring switch security features2.2.4.11 lab configuring switch security features
2.2.4.11 lab configuring switch security featuresJessica Soliz Catari
 
Firewall
FirewallFirewall
Firewallpablorattin
 
Practica 1 iptables
Practica 1 iptablesPractica 1 iptables
Practica 1 iptables1 2d
 
1.3.1.3 packet tracer
1.3.1.3 packet tracer1.3.1.3 packet tracer
1.3.1.3 packet tracerEdwin Gamboa
 
5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark
5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark5.2.1.8 lab observing arp with the windows cli, ios cli, and wireshark
5.2.1.8 lab observing arp with the windows cli, ios cli, and wiresharkhefloca
 
Practica 6.4.3.3
Practica 6.4.3.3Practica 6.4.3.3
Practica 6.4.3.3timmaujim
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3cercer
 
Iptables linux
Iptables linuxIptables linux
Iptables linuxocnelep
 
Sistemas de VoIP con Asterisk
Sistemas de VoIP con AsteriskSistemas de VoIP con Asterisk
Sistemas de VoIP con AsteriskGabriel Astudillo
 
8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 taller8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 tallermanchegow
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
2 do trimestre
2 do trimestre2 do trimestre
2 do trimestreMELGO2012
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera term2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera termnacional22
 
Ccna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_esCcna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_esFrancisco Ortega Ñ
 
Piam lab-4-ospf-1
Piam lab-4-ospf-1Piam lab-4-ospf-1
Piam lab-4-ospf-1dherym
 
Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5timmaujim
 
Comandos terminal ubuntu
Comandos terminal ubuntuComandos terminal ubuntu
Comandos terminal ubuntuEfe Boscan Guevara
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Utilerías
Utilerías Utilerías
Utilerías Eva Quiñones
 
Acl extendida
Acl extendidaAcl extendida
Acl extendidaYessica B. Leyva Avalos
 
E4 pt act_2_4_6
E4 pt act_2_4_6E4 pt act_2_4_6
E4 pt act_2_4_6jcnunez1290
 
Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 
Práctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilanPráctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilanTerrafx9
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberesliangel2003
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en redhugo.gonzalez
 

Weitere ähnliche Inhalte

Was ist angesagt?

Practica 6.4.3.3
Practica 6.4.3.3Practica 6.4.3.3
Practica 6.4.3.3timmaujim
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3cercer
 
Iptables linux
Iptables linuxIptables linux
Iptables linuxocnelep
 
Sistemas de VoIP con Asterisk
Sistemas de VoIP con AsteriskSistemas de VoIP con Asterisk
Sistemas de VoIP con AsteriskGabriel Astudillo
 
8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 taller8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 tallermanchegow
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
2 do trimestre
2 do trimestre2 do trimestre
2 do trimestreMELGO2012
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracerJosé Guerrero
 
2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera term2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera termnacional22
 
Piam lab-4-ospf-1
Piam lab-4-ospf-1Piam lab-4-ospf-1
Piam lab-4-ospf-1dherym
 
Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5timmaujim
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 

Was ist angesagt? (18)

Practica 6.4.3.3
Practica 6.4.3.3Practica 6.4.3.3
Practica 6.4.3.3
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3
 
Iptables linux
Iptables linuxIptables linux
Iptables linux
 
Sistemas de VoIP con Asterisk
Sistemas de VoIP con AsteriskSistemas de VoIP con Asterisk
Sistemas de VoIP con Asterisk
 
8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 taller8.3.3.3 lab collecting 6 taller
8.3.3.3 lab collecting 6 taller
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat
 
2 do trimestre
2 do trimestre2 do trimestre
2 do trimestre
 
Tutorial voz ip packet tracer
Tutorial voz ip packet tracerTutorial voz ip packet tracer
Tutorial voz ip packet tracer
 
2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera term2.1.4.9 lab establishing a console session with tera term
2.1.4.9 lab establishing a console session with tera term
 
Ccna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_esCcna4 lab 1_1_4b_es
Ccna4 lab 1_1_4b_es
 
Piam lab-4-ospf-1
Piam lab-4-ospf-1Piam lab-4-ospf-1
Piam lab-4-ospf-1
 
Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5Laboratorio ccna 6.4.3.5
Laboratorio ccna 6.4.3.5
 
Comandos terminal ubuntu
Comandos terminal ubuntuComandos terminal ubuntu
Comandos terminal ubuntu
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Utilerías
Utilerías Utilerías
Utilerías
 
Acl extendida
Acl extendidaAcl extendida
Acl extendida
 
E4 pt act_2_4_6
E4 pt act_2_4_6E4 pt act_2_4_6
E4 pt act_2_4_6
 

Andere mochten auch

Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesMena Inu
 
Práctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilanPráctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilanTerrafx9
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberesliangel2003
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en redhugo.gonzalez
 
Servidor ldap-en-debian-6-squeeze
Servidor ldap-en-debian-6-squeezeServidor ldap-en-debian-6-squeeze
Servidor ldap-en-debian-6-squeezeMauricio Arcas H.
 
Squirrelmail Debian
Squirrelmail DebianSquirrelmail Debian
Squirrelmail DebianVellidin
 
Postfix y Dovecot con usuarios virtuales mysql en Debian Wheezy
Postfix y Dovecot con usuarios virtuales mysql en Debian WheezyPostfix y Dovecot con usuarios virtuales mysql en Debian Wheezy
Postfix y Dovecot con usuarios virtuales mysql en Debian WheezyHenry Cristian Cuesta Vega
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasMiguel Morales
 
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...Fragatacante
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Manual de configuracion de proxy SQUID
Manual de configuracion de proxy SQUIDManual de configuracion de proxy SQUID
Manual de configuracion de proxy SQUIDAndres Ldño
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En DebianCesar Pineda
 

Andere mochten auch (16)

Firewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtablesFirewall en Ubuntu con IPtables
Firewall en Ubuntu con IPtables
 
Práctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilanPráctica 3 iptables fran gavilan
Práctica 3 iptables fran gavilan
 
Libro de jabberes
Libro de jabberesLibro de jabberes
Libro de jabberes
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
 
Instalar Openfire Debian
Instalar Openfire DebianInstalar Openfire Debian
Instalar Openfire Debian
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Servidor ldap-en-debian-6-squeeze
Servidor ldap-en-debian-6-squeezeServidor ldap-en-debian-6-squeeze
Servidor ldap-en-debian-6-squeeze
 
Squirrelmail Debian
Squirrelmail DebianSquirrelmail Debian
Squirrelmail Debian
 
Postfix y Dovecot con usuarios virtuales mysql en Debian Wheezy
Postfix y Dovecot con usuarios virtuales mysql en Debian WheezyPostfix y Dovecot con usuarios virtuales mysql en Debian Wheezy
Postfix y Dovecot con usuarios virtuales mysql en Debian Wheezy
 
Configuracion de Firewalls e Pasarelas
Configuracion de Firewalls e PasarelasConfiguracion de Firewalls e Pasarelas
Configuracion de Firewalls e Pasarelas
 
Servidor de Correo
Servidor de CorreoServidor de Correo
Servidor de Correo
 
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...Instalacion del servidor proxy para conectar una red lan a una pc con salid...
Instalacion del servidor proxy para conectar una red lan a una pc con salid...
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckberto
 
Manual de configuracion de proxy SQUID
Manual de configuracion de proxy SQUIDManual de configuracion de proxy SQUID
Manual de configuracion de proxy SQUID
 
Servidor De Correo En Debian
Servidor De Correo En DebianServidor De Correo En Debian
Servidor De Correo En Debian
 
Instalar servidores en debian
Instalar servidores en debianInstalar servidores en debian
Instalar servidores en debian
 

Ähnlich wie Firewall iptables

Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
Squid proxy transparente en ubuntu
Squid proxy transparente en ubuntuSquid proxy transparente en ubuntu
Squid proxy transparente en ubuntuAlvaro López
 
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...gilmer sotil
 
Comandos dispositivos
Comandos dispositivosComandos dispositivos
Comandos dispositivosJoan Diiz
 
511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptx511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptxRonaldoRomero7
 
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas PrácticasSeguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas Prácticasrodrimartin
 
CentOS tutorial para efectuar ajustes posteriores a la instalación
CentOS tutorial para efectuar ajustes posteriores a la instalaciónCentOS tutorial para efectuar ajustes posteriores a la instalación
CentOS tutorial para efectuar ajustes posteriores a la instalaciónAlejandro Marin
 

Ähnlich wie Firewall iptables (20)

Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
 
Firewall
FirewallFirewall
Firewall
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
 
Squid proxy transparente en ubuntu
Squid proxy transparente en ubuntuSquid proxy transparente en ubuntu
Squid proxy transparente en ubuntu
 
firewall.pptx
firewall.pptxfirewall.pptx
firewall.pptx
 
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
Comoconfigurarun firewallconshorewallendosinterfacesderedconpoliticasdro penc...
 
firewall
firewallfirewall
firewall
 
firewall
firewallfirewall
firewall
 
Comandos dispositivos
Comandos dispositivosComandos dispositivos
Comandos dispositivos
 
Seguridades de redes
Seguridades de redesSeguridades de redes
Seguridades de redes
 
511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptx511591245-Comandos-CCNA-v7.pptx
511591245-Comandos-CCNA-v7.pptx
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
 
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas PrácticasSeguridad en Servidores CentOS con Elastix + Buenas Prácticas
Seguridad en Servidores CentOS con Elastix + Buenas Prácticas
 
CentOS tutorial para efectuar ajustes posteriores a la instalación
CentOS tutorial para efectuar ajustes posteriores a la instalaciónCentOS tutorial para efectuar ajustes posteriores a la instalación
CentOS tutorial para efectuar ajustes posteriores a la instalación
 
Linux Redes
Linux RedesLinux Redes
Linux Redes
 
Apuntes iptables gerardo
Apuntes iptables gerardoApuntes iptables gerardo
Apuntes iptables gerardo
 
Banana Pro
Banana ProBanana Pro
Banana Pro
 
Pix (1)
Pix (1)Pix (1)
Pix (1)
 
Configurcion sw
Configurcion swConfigurcion sw
Configurcion sw
 

Mehr von cercer

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICAcercer
 
cortafuegos_doble_pila_linux
cortafuegos_doble_pila_linuxcortafuegos_doble_pila_linux
cortafuegos_doble_pila_linuxcercer
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadcercer
 
Iptables
IptablesIptables
Iptablescercer
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeezecercer
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackcercer
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7cercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 

Mehr von cercer (9)

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICA
 
cortafuegos_doble_pila_linux
cortafuegos_doble_pila_linuxcortafuegos_doble_pila_linux
cortafuegos_doble_pila_linux
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidad
 
Iptables
IptablesIptables
Iptables
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stack
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 

Kürzlich hochgeladen

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 

Kürzlich hochgeladen (20)

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 

Firewall iptables

  • 1. Firewall con Iptables Arturo Borrero González arturo.borrero.glez@gmail.com Febrero 2011 Documento bajo licencia “"CC-BY-SA 3.0"”. Usted es libre de copiar, modificar y redistribuir este documento, bajo la misma licencia. Este documento o uno muy similar puede encontrarse en http://www.ral-arturo.blogspot.com/.
  • 2. Firewall con iptables Febrero 2011 INTRODUCCIÓN Este documento trata de explicar una manera (de las muchas que hay) de montar un firewall “de tres patas” para alojar una configuración de red similar a la que puede verse en el esquema de abajo. El software usado es Debian Squeeze (amd64) e iptables (incluidas en el kernel de linux). Arturo Borrero González Pag. 2/6
  • 3. Firewall con iptables Febrero 2011 CUESTIONES PREVIAS Los elementos principales son la máquina con 3 interfaces que hace de router y los dos servidores en la DMZ. Vamos a suponer unas cuantas cuestiones previas, que nuestro firewall debe cumplir: 1. Los clientes de la red local deben tener acceso a internet transparente. Todos los servicios y protocolos. 2. En SERV1 hay un servidor WEB y SSH. En SERV2 hay un servidor SSH y un servidor WEB escuchando en el puerto 1312. 3. Aunque el router que nos conecta a internet hace NAT entre la dirección pública y nuestra red privada, es necesario hacer otra vez NAT en la interfaz eth1, dado que no podemos modificar la tabla de encaminamientos de router. 4. El la máquina router servirá SSH a internet a través del puerto 22220 y por el resto de interfaces por el puerto 22. 5. El puerto 22 de la máquina router será reenviado al puerto 22 de SERV2. 6. Debe de estar controlado el tráfico entrante/saliente de la DMZ hacia la LAN para evitar sorpresas. En el ejemplo que voy a mostrar vamos a crear un script para el servicio en /etc/init.d/. Este script nos permitirá alternar rápidamente entre poner y quitar el firewall, dejando siempre las reglas de encaminamiento y redirecciones intactas. El script es el siguiente (debe tener permisos de ejecución): /etc/init.d/iptables #!/bin/bash RETVAL=0 # Función iniciar firewall start() { echo "Adding hard firewall rules..." # fichero con reglas de iptables de firewall restrictivo sh /etc/iptables_close.conf RETVAL=0 } # Funcioón detener firewall stop() { echo "Removing hard firewall rules..." # fichero con reglas de iptables de firewall abierto sh /etc/iptables_open.conf RETVAL=0 } # Analizando parámetro recibido case $1 in start) start ;; stop) Arturo Borrero González Pag. 3/6
  • 4. Firewall con iptables Febrero 2011 stop ;; restart) stop start ;; status) /sbin/iptables -L /sbin/iptables -t nat -L RETVAL=0 ;; *) echo "Usage: firewall {start|stop|restart|status}" RETVAL=1 esac exit Para añadir el script de init.d al arranque del sistema y que nuestro debian lo adapte, tendremos que hacer: #uptade-rc.d /etc/init.d/iptables defaults EL SCRIPT DE IPTABLES Ahora tendremos que crear los siguientes ficheros de configuración de iptables. Uno con las reglas de encaminamiento y no las de firewall y otro con ambas. /etc/iptables_open.conf #!/bin/bash # Variables IF_INET='eth1' IF_LAN='eth2' IF_DMZ='eth0' IP_ROUTER_INET='192.168.0.2' IP_ROUTER_DMZ='192.168.2.1' IP_ROUTER_LAN='192.168.1.1' IP_SERV1='192.168.2.150' IP_SERV2='192.168.2.151' RED_LAN='192.168.1.0/24' RED_DMZ='192.168.2.0/24' # Borrado de reglas anteriores iptables -F iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t filter -F # Politica por defecto Arturo Borrero González Pag. 4/6
  • 5. Firewall con iptables Febrero 2011 iptables -P FORWARD ACCEPT ################## # Nat y redirecciones # ################## # Nat en la interfaz eth1 hacia internet iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.2 # Redirección de puertos para SERV1 (desde internet) a web iptables -t nat -A PREROUTING -i $IF_INET -p tcp --dport 80 -j DNAT --to-destination 192.168.2.150:80 # Redirecciones de puertos para SERV2 (desde cualquier sitio) a web iptables -t nat -A PREROUTING -i $IF_INET -p tcp --dport 1312 -j DNAT --to-destination 192.168.2.151:1312 iptables -t nat -A PREROUTING -i $IF_LAN -p tcp --dport 80 -d 192.168.2.151 -j DNAT --to-destination 192.168.2.151:1312 # El puerto 22 recibido desde internet será redireccionado a SERV2 iptables -t nat -A PREROUTING -p tcp -i $IF_INET --dport 22 -j DNAT --to-destination 192.168.2.151:22 A continuación, el fichero con la configuración de iptables “fuerte”: /etc/iptables_close.conf #!/bin/bash # Variables IF_INET='eth1' IF_LAN='eth2' IF_DMZ='eth0' IP_ROUTER_INET='192.168.0.2' IP_ROUTER_DMZ='192.168.2.1' IP_ROUTER_LAN='192.168.1.1' IP_SERV1='192.168.2.150' IP_SERV2='192.168.2.151' RED_LAN='192.168.1.0/24' RED_DMZ='192.168.2.0/24' # Borrado de reglas anteriores iptables -F iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -t filter -F ################# # Nat y redirecciones # ################# # Ejecuto el fichero de iptables_open.conf, que tiene la configuración de NAT y redirecciones. sh /etc/iptables_open.conf ########## # Firewall # ########## # Politicas por defecto iptables -P FORWARD DROP Arturo Borrero González Pag. 5/6
  • 6. Firewall con iptables Febrero 2011 # Se permite el trafico TCP desde internet a la DMZ (web, ssh) iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 80 -d $IP_SERV1 -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 22 -d $IP_SERV2 -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p tcp --dport 1312 -d $IP_SERV2 -j ACCEPT # Se permite el tráfico TCP desde la DMZ a internet (web, ssh) iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 80 -s $IP_SERV1 -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 22 -s $IP_SERV2 -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -p tcp --sport 1312 -s $IP_SERV2 -j ACCEPT # Podriamos especificar puertos concretos como: #80 http, 443 https, 143 imap, 220 imap3, 993 imap3, 110 pop3, 995 pop3s, 110 pop3 iptables -t filter -A FORWARD -i $IF_INET -p tcp -d $RED_LAN -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_INET -p udp --dport 1024: -d $RED_LAN -j ACCEPT # Se permite el tráfico TCP/UDP desde LAN a internet iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p tcp --sport 1024: -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p udp --dport 53 -j DROP iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -p udp --sport 1024: -j ACCEPT # Se permite el tráfico TCP desde LAN a DMZ iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $IP_SERV1 -p tcp --dport 80 -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $IP_SERV2 -p tcp --dport 1312 -j ACCEPT iptables -t filter -A FORWARD -i $IF_LAN -s $RED_LAN -d $RED_DMZ -p tcp --dport 22 -j ACCEPT # Se permite el tráfico TCP desde DMZ a LAN iptables -t filter -A FORWARD -i $IF_DMZ -s $IP_SERV1 -d $RED_LAN -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -s $IP_SERV2 -d $RED_LAN -p tcp --sport 1312 -m state --state ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -i $IF_DMZ -s $RED_DMZ -d $RED_LAN -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT Tendremos que gestionar los permisos adecuados de lectura/escritura/ejecución para estos ficheros. Copiando el script y sustituyendo las variables puede adaptarse rápida y fácilmente a las necesidades de otra red u otra configuración similar. Los firewall con Iptables pueden llegar a ser muy restrictivos y muy concretos en el tráfico que se permite/deniega. Esta es una configuración bastante rápida y permisiva, pero eficaz como punto de partida para un ajuste mucho más fino. Arturo Borrero González Pag. 6/6