#!/bin/sh
echo -n Aplicando Reglas de
Firewall...
## FLUSH de
reglas
iptables
-F
iptables
-X
iptables
-Z
iptables -t nat
-F
## Establecemos politica por
defecto
iptables -P INPUT
DROP
iptables -P OUTPUT
ACCEPT
iptables -P FORWARD
ACCEPT
iptables -t nat -P PREROUTING
ACCEPT
iptables -t nat -P POSTROUTING
ACCEPT
## Empezamos a
filtrar
# El localhost se
deja
iptables -A INPUT -i lo -j
ACCEPT
# ponemos la piedra filosofal que da el toque
mágico
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j
ACCEPT
#*************************************************************
# Poder hacerle ping al servidor
*
#*************************************************************
/sbin/iptables -A INPUT -p icmp --icmp-type any -j
ACCEPT
#******************************************
# CONEXION DE
BIND
#*****************************************
/sbin/iptables -A INPUT -p udp --dport 53 -j
ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#***************************************************
#Permitir conexiones a Apache
*
#***************************************************
/sbin/iptables -A INPUT -p tcp --dport 80 -j
ACCEPT
#por puerto
seguro
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#***************************************************
# Permitir conexiones por ssh
*
#***************************************************
/sbin/iptables -A INPUT -s 10.30.143.8 -p tcp --dport 22 -j ACCEPT
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -A INPUT -s 10.30.1.1 -m tcp -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -m tcp -p tcp --dport 110 -j
ACCEPT
/sbin/iptables -A INPUT -m tcp -p tcp --dport 143 -j
ACCEPT
/sbin/iptables -A INPUT -m tcp -p tcp --dport 587 -j
ACCEPT
#SMTPS, IMAPS,
POP3S
/sbin/iptables -A INPUT -m tcp -p tcp --dport 465 -j
ACCEPT
/sbin/iptables -A INPUT -m tcp -p tcp --dport 993 -j
ACCEPT
/sbin/iptables -A INPUT -m tcp -p tcp --dport 995 -j ACCEPT
## Ahora con regla FORWARD filtramos el acceso de la red
local
## al exterior. Como se explica antes, a los paquetes que no van
dirigidos al
## propio firewall se les aplican reglas de
FORWARD
# Aceptamos que vayan a puertos
80
iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p tcp --dport 80 -j
ACCEPT
# Aceptamos que vayan a puertos
https
iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p tcp --dport 443 -j
ACCEPT
# Aceptamos que consulten los
DNS
iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p tcp --dport 53 -j
ACCEPT
iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p udp --dport 53 -j
ACCEPT
# Aceptamos que consulten el
jabber
#iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p tcp --dport 5222 -j
ACCEPT
#iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -p tcp --dport 5223 -j
ACCEPT
# Aceptamos que consulten el
ftp
iptables -A FORWARD -s 10.30.143.0/24 -i eth0 -p tcp --dport 21 -j ACCEPT
# Y denegamos el resto. Si se necesita alguno, ya
avisaran
iptables -A FORWARD -s 10.30.143.0/24 -i eth1 -j DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
# Cerramos el rango de puerto bien
conocido
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 1:1024 -j
DROP
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p udp --dport 1:1024 -j
DROP
# Cerramos un puerto de gestión:
webmin
iptables -A INPUT -s 0.0.0.0/0 -i eth0 -p tcp --dport 10000 -j DROP
El 01/23/2015 12:00 PM, gutl-l497-requ...@jovenclub.cu escribió:
> Message: 1
> Date: Fri, 23 Jan 2015 11:46:24 -0500
> From: låzaro <laz...@hcg.sld.cu>
> To: Lista cubana de soporte técnico en Tecnologias Libres
> <gutl-l@jovenclub.cu>
> Subject: Re: [Gutl-l] Iptables no me deja acceder a ftp externo
> Message-ID: <20150123164624.gs10...@hcg.sld.cu>
> Content-Type: text/plain; charset=utf-8
>
> serías tan amable de mostrarnos tu script de iptables?
>
> Nadie te va a hackear no te preocupes...
> 497
> Thread name: "[Gutl-l] Iptables no me deja acceder a ftp externo"
> Mail number: 1
> Date: Fri, Jan 23, 2015
> In reply to: Yoan Silveira Escalante
>> >
>> > Si tengo un forward al puerto 21 igual que a los demás puertos, es solo
>> > la regla del ftp la que no funciona. En esencia lo que quiero hacer es
>> > que mis usuarios solo puedan acceder a los puertos 80, 443 y 5222,5223 y
>> > al ftp, fuera de mi red a mas ningún puerto. Si tienen alguna
>> > sugerencia, favor de responder.497
>> >
>> > Saludos
>> >
--
Siganos en Facebook:
www.facebook.com/UOCuba
--
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
