3.2 Firewall de una LAN con salida a internetAhora vamos a ver una configuraci

1. 3.2 Firewall de una LAN con salida a internet
2. Ahora vamos a ver una configuración de firewall iptables para el típico caso de red local que necesita salida a internet.
3.  
4. Figura 6: esquema de firewall típico entre red local e internet
5. ¿Qué es lo que hace falta? Obviamente, una regla que haga NAT hacia fuera (enmascaramiento en iptables), con lo que se haría dos veces NAT en el firewall y en el router. Entre el router y el firewall lo normal es que haya una red privada (192.168.1.1 y 192.168.1.2 por ejemplo), aunque dependiendo de las necesidades puede que los dos tengan IP pública. El router se supone que hace un NAT completo hacia dentro (quizá salvo puerto 23), o sea que desde el exterior no se llega al router si no que de forma transparente se "choca" contra el firewall. Lo normal en este tipo de firewalls es poner la política por defecto de FORWARD en denegar (DROP), pero eso lo vemos más adelante.
6. Veamos como sería este firewall-gateway:
7.  
8. #!/bin/sh
9. ## SCRIPT de IPTABLES - ejemplo del manual de iptables
10. ## Ejemplo de script para firewall entre red-local e internet
11. ##
12. ## Pello Xabier Altadill Izura
13. ## www.pello.info - pello@pello.info
14.  
15. echo -n Aplicando Reglas de Firewall...
16.  
17. ## FLUSH de reglas
18. iptables -F
19. iptables -X
20. iptables -Z
21. iptables -t nat -F
22.  
23. ## Establecemos politica por defecto
24. iptables -P INPUT ACCEPT
25. iptables -P OUTPUT ACCEPT
26. iptables -P FORWARD ACCEPT
27. iptables -t nat -P PREROUTING ACCEPT
28. iptables -t nat -P POSTROUTING ACCEPT
29.  
30. ## Empezamos a filtrar
31. ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
32. # El localhost se deja (por ejemplo conexiones locales a mysql)
33. /sbin/iptables -A INPUT -i lo -j ACCEPT
34.  
35. # Al firewall tenemos acceso desde la red local
36. iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
37.  
38. # Ahora hacemos enmascaramiento de la red local
39. # y activamos el BIT DE FORWARDING (imprescindible!!!!!)
40. iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
41.  
42. # Con esto permitimos hacer forward de paquetes en el firewall, o sea
43. # que otras máquinas puedan salir a traves del firewall.
44. echo 1 > /proc/sys/net/ipv4/ip_forward
45.  
46. ## Y ahora cerramos los accesos indeseados del exterior:
47. # Nota: 0.0.0.0/0 significa: cualquier red
48.  
49. # Cerramos el rango de puerto bien conocido
50. iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
51. iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
52.  
53. # Cerramos un puerto de gestión: webmin
54. iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
55.  
56. echo " OK . Verifique que lo que se aplica con: iptables -L -n"
57.  
58. # Fin del script