Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- 3.2 Firewall de una LAN con salida a internet
- Ahora vamos a ver una configuración de firewall iptables para el típico caso de red local que necesita salida a internet.
- Figura 6: esquema de firewall típico entre red local e internet
- ¿Qué es lo que hace falta? Obviamente, una regla que haga NAT hacia fuera (enmascaramiento en iptables), con lo que se haría dos veces NAT en el firewall y en el router. Entre el router y el firewall lo normal es que haya una red privada (192.168.1.1 y 192.168.1.2 por ejemplo), aunque dependiendo de las necesidades puede que los dos tengan IP pública. El router se supone que hace un NAT completo hacia dentro (quizá salvo puerto 23), o sea que desde el exterior no se llega al router si no que de forma transparente se "choca" contra el firewall. Lo normal en este tipo de firewalls es poner la política por defecto de FORWARD en denegar (DROP), pero eso lo vemos más adelante.
- Veamos como sería este firewall-gateway:
- #!/bin/sh
- ## SCRIPT de IPTABLES - ejemplo del manual de iptables
- ## Ejemplo de script para firewall entre red-local e internet
- ##
- ## Pello Xabier Altadill Izura
- ## www.pello.info - pello@pello.info
- echo -n Aplicando Reglas de Firewall...
- ## FLUSH de reglas
- iptables -F
- iptables -X
- iptables -Z
- iptables -t nat -F
- ## Establecemos politica por defecto
- iptables -P INPUT ACCEPT
- iptables -P OUTPUT ACCEPT
- iptables -P FORWARD ACCEPT
- iptables -t nat -P PREROUTING ACCEPT
- iptables -t nat -P POSTROUTING ACCEPT
- ## Empezamos a filtrar
- ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
- # El localhost se deja (por ejemplo conexiones locales a mysql)
- /sbin/iptables -A INPUT -i lo -j ACCEPT
- # Al firewall tenemos acceso desde la red local
- iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
- # Ahora hacemos enmascaramiento de la red local
- # y activamos el BIT DE FORWARDING (imprescindible!!!!!)
- iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
- # Con esto permitimos hacer forward de paquetes en el firewall, o sea
- # que otras máquinas puedan salir a traves del firewall.
- echo 1 > /proc/sys/net/ipv4/ip_forward
- ## Y ahora cerramos los accesos indeseados del exterior:
- # Nota: 0.0.0.0/0 significa: cualquier red
- # Cerramos el rango de puerto bien conocido
- iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
- iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
- # Cerramos un puerto de gestión: webmin
- iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
- echo " OK . Verifique que lo que se aplica con: iptables -L -n"
- # Fin del script
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement