Menu

Firewall con IPTables

2 mayo, 2013 - Linux
Firewall con IPTables

firewall-1

Listo, ya tenemos 2 placas de red en el server, que mas sigue?

Ahora ya podremos comenzar a compartir internet y utilizar nuesto Linux Server como Router+Firewall

Recordemos unas cosas de como tenemos configurada la red (a modo de ejemplo)

LAN:
eth0
ip: 192.168.10.8/24

WAN
eth1
IP: 10.10.1.10/24
GW: 10.10.1.1

También en un tutorial anterior vimos como hacer un scrit de inicio para el iptables quien se ocupa de mantener la configuración del mismo por lo largo del tiempo. Ver Asegurando nuesto Server con IPTalbes.

Recordemos siempre pero siempre, y es básico para que nuestro server funcione correctamente la forma en que iptables ejecuta las reglas

1ro Permito todas las excepciones, una por una.

2do Deniego todo.

Entonces tenemos que agregar las siguientes lineas al script

Primero Permitimos y luego denegamos, de esta forma es como el iptables funciona correctamente y al hacerlo asi puedo bloquear todo y solo permitir las excepciones que necesite

Para comprender el uso de iptables se analizaremos el siguiente ejemplo:

$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT

IPTABLES  -A :  Agrego una regla

FORWARD: reenvio de los paquetes dentro de la LAN

-s : source u origen,  este puede ser un segmento de red o una direccion en particular

-i : interface, esta es desde que placa se origina el trafico

-p: protocolo, puede ser TCP o UDP

–dport: Puerto de destino, puede ser uno (80) o un segmento (1:1024)

-j: Accion a tomar, esta puede ser: ACCEPT, DROP, QEUE y RETURN, si no se coloca nada esta pasa por alto la regla sin ejecutar ninguna accion.

Para permitir entonces solo algunos puerto y denegar el resto desde la LAN hacia la WAN deberemos de agregar  las siguientes lineas a nuestro script

# Permito navegacion y varios
$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp –dport 443 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -p tcp –dport 53 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -p udp –dport 53 -j ACCEPT

# Permito todo a una maquina en particular

$IPTABLES -A FORWARD -s 192.168.10.11 -i eth0 -p tcp –dport 1:1024 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.10.11 -i eth0 -p udp –dport 1:1024 -j ACCEPT

# Permito el routeo de LAN a WAN
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT

# DENIEGO ALL
$IPTABLES -A FORWARD -s 192.168.10.0/24 -i eth0 -j DROP
$IPTABLES -A OUTPUT -p tcp –dport 1:1024 -j DROP
$IPTABLES -A OUTPUT -p udp –dport 1:1024 -j DROP

 

Saludos!

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *