Me pueden echar una mano con los iptables : (

Submitted by dzapata on 31. Mayo 2007 - 13:59.

Ayuda

Saludos a toda la comunidad ... les escribo en relación a un inconveniente que presento con las reglas iptables del proxy de la empresa donde laboro, ya que el mismo tiene la politica por defecto de aceptar todo, lo que facilita el uso de programas p2p y por ende afecta el rendimiento de internet. He leido y releido sobre iptables pero de verdad aún no estoy muy ducho en el tema y los intentos que he hecho de reglas han sido infructuosos. Mi intención es que todos los puertos esten cerrados e ir abriendo solamente los necesarios para el buen funcionamiento de la intranet e internet. Les cuento rápidamente como está constituida la red a nivel de servidores para que se hagan una idea:

a) 1 Servidor Proxy.

b) 1 Servidor que presta los servicios de DNS y DHCP.

c) 1 Servidor LAMP con todas las aplicaciones que se usan en la intranet.

d) 1 Servidor de Correo.

En mi primer intento quise crear las reglas necesarias para que el proxy y el servidor dns tuvieran acceso a internet, pero como les repito los resultados no han sido los esperados ya que el ejecutar las siguientes reglas ninguna maquina puede conectarse a intenet (ni el mismo proxy). Las reglas que he utilizado son las siguientes:

############ Datos de la Red #########

IPT="/sbin/iptables"

# Internet Interface
externa="eth1"

# Local Interface Information
interna="eth0"
ip_interna="10.0.0.4"
ip_red="10.0.0.0/24"
broadcasting="10.0.0.255"

# Localhost Interface
LO_IFACE="lo"
LO_IP="127.0.0.1"
###################################

############# Carga de los Módulos #########

echo "Cargando Módulos del Kernel..."

# core netfilter module
/sbin/modprobe ip_tables

####################################

################# Parámetros del Kernel ##############

echo "Ajustando Parámetros del Kernel..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
#############################################

########### Politica por Defecto del Firewall ###############

echo "Aplicando Reglas del Firewall..."

echo "Borrando Reglas Previas ..."

# Flush de Reglas
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Estableciendo la Politica por defecto
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

################ Reglas del Firewall #################

#Al localhost se le permite todo
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

# Permitimos que la maquina pueda salir a la web
$IPT -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Permitimos las consultas DNS
$IPT -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT

#Se le permite la salida al servidor DNS
$IPT -A INPUT -p ALL -i $interna -s 10.0.0.2 -j ACCEPT

# Aceptando conexiones establecidas (Internet)
$IPT -A INPUT -p ALL -i $externa -m state --state ESTABLISHED,RELATED \
-j ACCEPT

# Acceso Total de la Red Interna

$IPT -A INPUT -p ALL -i $interna -s $ip_red -j ACCEPT
$IPT -A INPUT -p ALL -i $interna -d $broadcasting -j ACCEPT

$IPT -A OUTPUT -p ALL -s $ip_interna -j ACCEPT
$IPT -A OUTPUT -p ALL -o $interna -j ACCEPT

# Salida hacia Internet
$IPT -A OUTPUT -p ALL -o $externa -j ACCEPT

#Proxy Transparente y Enrutamiento
$IPT -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
$IPT -t nat -A PREROUTING -p tcp --destination-port 110 -j REDIRECT --to-ports 3128
$IPT -t nat -A PREROUTING -i $externa -p tcp --destination-port 25 -j DNAT --to-destination 10.0.0.6:25
$IPT -t nat -A POSTROUTING -p tcp --destination-port 25 -j MASQUERADE
$IPT -t nat -A PREROUTING -p tcp --destination-port 23 -j REDIRECT --to-ports 3128

#Enmascaramiento de IP
$IPT -t nat -A POSTROUTING -o $externa -j MASQUERADE

echo "Firewall Funcionando ..."

De verdad les agradecería muchisimo la ayuda que me puedan brindar al respecto ...

RE: Me pueden echar una mano con los iptables : (

Submitted by ubuntu-ve on 2. Junio 2007 - 4:52.

Hola dzapata,

Solo dos cosas iniciales.

NO somos una Comunidad, SOMOS una FRATERNIDAD (just kidding)
Porque no usas una herramienta de Firewall que use IPTables y que te haga mucho mas fácil la administración de las Reglas? algo como Firestarter por ejemplo.