manual iptales
DESCRIPTION
UBUNTUIPTABLESTRANSCRIPT
IPTABLES UBUNTU (FIREWALL)
Primero creamos un archivo .sh para contener nuestras reglas de firewall, mediante el comando:
gedit firewall.sh
Dentro de este archivo insertamos las politicas de acceso, en este caso hemos decidido un firewall de primero acepto todo y comenzamos a denegar:
#!/bin/bash
#-s Especifica una direccion de origen
/sbin/iptables -t nat -F #Nos indica la ubicacion del fichero nat
#Borrar todas las reglas en caso de que existan reglas preconfiguradasiptables -F
#Politica general (Aceptamos todo)iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPTiptables -t nat -P POSTROUTING ACCEPT
Ademas debemos indicarle que permita el acceso a las redes internas:
/sbin/iptables -A INPUT -i lo -j ACCEPT
Una vez creadas las politicas las agregamos al firecho firewall.sh que creamos:
A este fichero le tenemos que proveer de permisos de ejecucion mediante el siguiente comando:
chmod +x firewall.sh
Para aplicar las reglas llamamos al fichero mediante el comando:
sh firewall.sh
Ahora para comprobar que las politicas generales esten aplicadas ponemos el comando:
iptables -L
Como podemos aplicar las reglas se estan ejecutando, ahora lo que haremos es agregar las reglas que nos pide el preparatorio para restingir o permitir los accesos a los servicios:
Permitir ftp: 200.50.72.140 al host 200.50.72.20 y denegar para el host 200.50.72.10
iptables -A FORWARD -s 200.50.72.20 -d 200.50.72.140 -p tcp --dport 20:21 -j ACCEPTiptables -A FORWARD -s 200.50.72.10 -d 200.50.72.140 -p tcp --dport 20:21 -j DROP
Permitir al host 200.50.72.10 acceso al servidor web 200.50.72.150 y denegar el acceso al host 200.50.72.20
iptables -A FORWARD -s 200.50.72.10 -d 200.50.72.150 -p tcp --dport 80 -j ACCEPTiptables -A FORWARD -s 200.50.72.20 -d 200.50.72.150 -p tcp --dport 80 -j DROP
Permitir el envio de paquetes icmp del host3 200.50.72.160 al host2 200.50.72.20
iptables -A FORWARD -s 200.50.72.20 -d 200.50.72.160 -p icmp --icmp-type echo-request -j ACCEPTiptables -A FORWARD -s 200.50.72.0/25 -d 200.50.72.160 -p icmp --icmp-type echo-request -j DROP
Permitir el acceso ssh del host1 al servidor firewall proxy
iptables -A INPUT -s 200.50.72.10 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s 200.50.72.0/25 -p tcp --dport 22 -j DROP
Las agregamos al archivo y llamamos con el comando sh a su ejecucion:
Para verificar que esten funcionando utilizamos el comando iptables -L:
Ahora las reglas estan configuradas si queremos que el fichero se ejecute al iniciar el cpu, primero copiamos el fichero al init.d con el siguiente comando:
Y lo ubicamos dentro del orden de arranque mediante el comando:
update-rc.d firewall.sh defaults