> Masters: > Estoy armando una experiencia de laboratorio con 2 gateways con Linux: > uno con Woody y el otro con Sarge. Estos tienen un firewall mediante > iptables para hacer NAT y dejar pasar ciertos servicios. La idea es que > me ayuden y propongan mas reglas de modo de hacer un firewall de lujo. > Sé que iptables permite inspeccion de paquetes on line y que las > politicas por defecto deben ser DROP. Mi consulta apunta a que > recomendaciones me darian uds. para mejorar la seguridad del firewall y > dejarlo mas robusto (por ejemplo, verificacion de estados de las > conexiones, ciertos tipos de ataques particulares y ciertas condiciones > que aun desconozco). Agradecere vuestros aportes con respecto a mas > reglas que lo mejoren . Les envio mi script: > --------------------------------------------------------------------------------------- > > #!/bin/bash > > echo -n Aplicando reglas de Firewall > > #Borrar cualquier configuracion antigua > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > iptables -t nat -X > iptables -t nat -Z > > #Politicas por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > #Establecer las reglas de NAT > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > iptables -A FORWARD -i eth0 -o eth1 -d 10.1.1.0/24 -j ACCEPT > iptables -A FORWARD -i eth1 -o eth0 -s 10.1.1.0/24 -j ACCEPT > Bueno, no estas filtrando nada para la subred 10.1.1.0/24, quiza podrias especificar ciertos protocolos o ciertos puertos. No dejar pasar todo, por ejemplo
iptables -A FORWARD -i eth0 -o eth1 -s 10.1.1.0/24 \ -p tcp -m multiport --dport 21,22,80 Es solo por citar un ejemplo. > #Habilitar el forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > #Habilitar en el localhost > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > #Habilitar pings > iptables -A INPUT -p icmp -j ACCEPT la entrada del icmp lo puedes limitar con --limit, agrega algo asi iptables -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT Y aparte, si deseas algo mas completo puedes usar iptables + un IDS que puede ser SNORT, con el cual puedes detectar escaneos de puertos y bloquearlos. Saludos. > iptables -A OUTPUT -p icmp -j ACCEPT De la misma forma para el OUTPUT > > #Apertura servicio web > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT > > #Redireccion DNAT a equipo de la LAN > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to > 10.1.1.2 > > #Habilitar APT-GET > #Navegacion web > iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT > iptables -A OUTPUT -p tcp --sport 1024:65535 -j ACCEPT > #DNS > iptables -A INPUT -p udp --sport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > --------------------------------------------------------------------------------------- > > Saludos y gracias, > Mario Ramirez > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
