Re: [Gutl-l] ayuda en iptables

Adrian Martinez Perez Wed, 18 May 2011 08:06:04 -0700

El 18/05/11 09:14, S@lbi escribió:

pero que es lo que necesitas cerra el puerto 80 para la LAN y dejarlo
abierto para la WAN o viceversa, pues aqui tienes abierto el 80 nada mas
para la LAN.



${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m state
--state NEW -j ACCEPT















On Wed, 18 May 2011 09:03:25 -0400, Adrian Martinez Perez
<adrian11...@cha.jovenclub.cu>  wrote:

Salu2 comunidad
por estos dias me estuvieron tirando una revision desde el exterior y me
encontraron lo siguiente
puerto 80 abierto por la lan

esto es una dificultad que no se como corregir
aca les dejo mi iptables a ver como me podrian ayudar a resolver este
problema
soy en esto de iptables un ñame jejejejeje
bueno aca les dejo mi iptable


#!/bin/sh

###########################
# Definicion de Variables #
###########################
IPTABLES="/sbin/iptables"

if [ ! -x ${IPTABLES} ]; then
    exit 0
fi

echo -n "Aplicando Reglas de Firewall..."

##################
# Limpiar reglas #
##################
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F

#####################################
# Establecemos politica por defecto #
#####################################
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT

## Nota: eth1 es la LAN y eth0 a la WAN

#-- Permitir conexiones establecidas
${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#-- Permitir conexiones localhost
${IPTABLES} -A INPUT -i lo -m state --state NEW -j ACCEPT

#-- Permitir ping a la red LAN
${IPTABLES} -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la WAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT



###############################
# NAT para el Correo y JABBER #
###############################

#-- Aclaje al SMTP, POP3 y IMAP con conexión segura
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 25  -j DNAT
--to-destination 192.168.54.3:25 # SMTP-TLS
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 995 -j DNAT
--to-destination 192.168.54.3:995 # POP3-SSL
${IPTABLES} -t nat -A PREROUTING -i eth1 -p tcp --dport 993 -j DNAT
--to-destination 192.168.54.3:993 # IMAP-SSL

#-- Aceptamos que los clientes vayan al correo del servidor de la
provincia con conexión segura
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 25 -j ACCEPT # SMTP-TLS
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 995 -j ACCEPT # POP3-SSL
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.3
--dport 993 -j ACCEPT # IMAP-SSL

# Clienet Jabber
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5223 -j ACCEPT
${IPTABLES} -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp -d 192.168.54.6
--dport 5222 -j ACCEPT

#-- Enmascaramiento de la LAN
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j

MASQUERADE

###############################################################################################################

######################
# Reglas de Servicio #
######################

#-- Permitir la WWW para la LAN.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 8080 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -m
state --state NEW -j ACCEPT

#-- Permitir el Proxy.
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 3128 -m
state --state NEW -j ACCEPT

#-- Permitir Sincronización con el servidor de tiempo en la LAN
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 123 -m
state --state NEW -j ACCEPT

#-- Permitir FTP activo y pasivo
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p tcp --sport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A INPUT -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -m
state --state NEW -j ACCEPT
${IPTABLES} -A OUTPUT -d 192.168.0.0/24 -o eth1 -p udp --sport 20:21 -m
state --state NEW -j ACCEPT
# Para ftp pasivo incluir en /etc/modules "ip_conntrack_ftp"

echo 1>  /proc/sys/net/ipv4/ip_forward

#-- Log de los paquetes de entrada negados
#${IPTABLES} -A INPUT -j LOG --log-level debug --log-prefix  "DROP
INPUT:<- "
#${IPTABLES} -A OUTPUT -j LOG --log-level debug --log-prefix "DROP
OUTPUT: ->  "
#${IPTABLES} -A FORWARD -j LOG --log-level debug --log-prefix "FORWARD
DROP:<->  "

echo " OK."


en espera de ayuda y agradecido


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

eso yo lo se pero pero me dicen que esta abierto por la wan y necesitocerrarlo en la wan


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] ayuda en iptables

Responder a