Buenas a todos. Como dice el asunto, quisiera que observaran un script
que estuve probando hasta ayer, dnd configuro el reenvío desde una
wan(eth0) hasta una lan (eth1) las peticiones que lleguen por el puerto
80, también coloco un ejemplo de regla para acceso a ssh. Este script,
pueden utilizarlos también, aunque supongo que luego de las críticas
finales de los compañeros de la lista que le encuentren posibles
mejores, he pensado en algunas ya, pero prefiriría antes de ponerme a
adicionarle cosas escuchar sus comentarios
Sin más, aquí va el script
#!/bin/bash
# En esta configuracion la tarjeta de red del firewall con internet es
eth0 y la que tiene acceso a la red local es eth1
#192.168.56.5 es la maquina dentro de la lan que tiene hosteado el
servidor web al que se quiere acceder desde internet
#Nota: 192.168.56.0/24 es la red lan
#Haciendo flush
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
# Activar reenvio de paquetes en el SO
echo 1 > /proc/sys/net/ipv4/ip_forward
# Politica por defecto
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Reglas para localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -o -eth0 -j ACCEPT
# Reglas la cadena INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir las conexiones entrantes por ssh a la tarjeta de red eth1, la
cual
# pertenece a la red lan. De esta forma nadie puede conectarse desde la
WAN (internet)
iptables -A INPUT -s 192.168.56.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT
# Reglas NAT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.56.5:80
#Reglas Forward
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Ip del servidor de Apache: 192.168.56.5/32
iptables -A FORWARD -d 192.168.56.5/32 -i eth0 -o eth1 -p tcp --dport 80
-m state --state NEW -j ACCEPT
#Reglas OUTPUT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Permitir que todos los paquetes con origen desde la red lan
(192.168.56.0/24)
#que vayan saliendo de la tarjeta de red lan del firewall puedan aceptarse
#para establecer la conexion por el puerto 22.
iptables -A OUTPUT -s 192.168.56.0/24 -o eth1 -p tcp --dport 22 -j ACCEPT
Noviembre 13-14: Final Caribeña 2015 del Concurso de Programación ACM-ICPC
https://icpc.baylor.edu/regionals/finder/cf-2015
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
