Estimados,
Pongo a su disposición un firewall con "iptables", del cual quisiera el
criterio u opinion de UD.
Antes, quiero comentarles alguna cositas en las cuales me pudieran
ayudar.
Tal y como esta ahora; las redirecciones del puerto 80 y 25; la salida
de la LAN (del proxy local al proxy padre), funcionan perfectamente,
pero tengo algunas dudas o preocupaciones, como veran en el ejemplo la
politica FORWARD esta en ACCEPT, aqui las preguntas:
- cuando pongo el FORWARD en DROP no me funciona ni el
redireccionamiento (quizas aqui me falte alguna linea o algun detalle)
y las salidas del proxy de la LAN aun estado ese FORWARD en ACCETP,
tampoco funcionan.
- si cambio el FORWARD a ACCEPT, y al final, bloqueo las demas
peticiones por FORWARD, entonces el redireccionamiento de puestos no me
funciona.
Me gustaria, poder inicializar el iptables con el FORWARD en DROP, pero
de veras, no logro acotejar las reglas restantes para su correcto
funcionamiento.
Estamos abiertos a todos los comentarios para poder configurar, de
forma mas efectiva.
Gracias,
***********************************************************************
***************************
#!/bin/sh
echo " Aplicando reglas al firewall..."
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
## ESTABLECEMOS POLITICAS POR DEFECTO
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
iptables -P FORWARD ACCEPT
#############################
## DEFINICION DE VARIABLES ##
#############################
## Nota: ens19 es el interfaz conectado al ROUTER (WAN) y ens18 a la
LAN
## RED EXTERNA
IF_WAN=ens19
IP_WAN=172.16.14.5
RED_WAN=172.16.0.0/12
## RED INTERNA
IF_LAN=ens18
IP_LAN=192.168.100.244
IP_ADMINRED=192.168.100.20
RED_LAN=192.168.100.0/24
SRV_SMTP=192.168.100.13
SRV_HTTP=192.168.100.7
#########################
## EMPEZAMOS A FILTRAR ##
#########################
######################################
## POLITICIAS INTERNAS DEL FIREWALL ##
######################################
# Permitimos hacer forward de paquetes en el firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
## Acceso total desde el localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Aceptamos paquetes que tienen estado relacionados y establecidos
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
####################################
## ACCESO DE LOS ADMINISTRADORES AL FIREWALL ##
####################################
iptables -A INPUT -s $IP_ADMINRED -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d $IP_ADMINRED -p tcp --sport 22 -m state --state
RELATED,ESTABLISHED -j ACCEPT
######################
### REDIRECCIONAMIENTOS ###
######################
# Enmascaramiento de la red local
iptables -t nat -A POSTROUTING -j MASQUERADE
# Accesos desde la red externa al servidor hosting
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to
$SRV_HTTP:80
# Entrada de correos electronicos desde la red externa
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to
$SRV_SMTP:25
#########################
## REGLAS DE ENTRADA A LA WAN ##
#########################
# Permitir ping desde la red wan
#iptables -A INPUT -p ICMP -s $RED_WAN -j ACCEPT
##########################
## REGLAS DE SALIDA DESDE LA LAN ##
##########################
## SERVIDORES
##-------------------------------------------------
## Salida del servidor proxy local hacia el servidor proxy del
proveedor
iptables -A FORWARD -p tcp -s 192.168.100.20 -d 172.16.0.20 --dport
3128 -j ACCEPT
# Y denegamos las demas peticiones por FORWARD.
iptables -A FORWARD -s 192.168.100.0/24 -i ens18 -j DROP
echo " OK..!"
***********************************************************************
***************************
--
Lic. Alexis Verano GonzálezEsp. A Ciencias Informáticas | Administrador de
REDGrupo Empresarial de Servicios de Transporte Automotor "GEA"Ministerio de
TransporteCorreo-e: alexis.verano@gea.transnet.cuWeb:
https://www.gea.transnet.cuTel: (+53) 7881-9057 | (+53) 5 994-6579
---
<br>
Somos el GEA, Grupo Empresarial de Servicios de Transporte Automotor
perfeccionado.
<br>
Visítenos en: <a
href="https://www.gea.transnet.cu">https://www.gea.transnet.cu</a>, <a
href="https://www.facebook.com/OSDEGEA2014">Facebook</a> y <a
href="https://twitter.com/cuba_gea">Twitter</a>
<br>
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu