Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- ######## START /etc/network/if-pre-up.d/cargar_iptables #########
- #!/bin/bash
- /sbin/iptables-restore < /etc/iptables.up.rules
- ######## END /etc/network/if-pre-up.d/cargar_iptables #########
- ######## START /bin/firewall-iptables #########
- #!/bin/bash
- IPT=/sbin/iptables
- if [ $# -eq 1 ]; then
- case $1 in
- start)
- ${IPT}-restore < /etc/iptables.up.rules
- exit $?
- ;;
- stop)
- $IPT -F
- $IPT -X
- $IPT -t nat -F
- $IPT -t nat -X
- $IPT -t mangle -F
- $IPT -t mangle -X
- $IPT -P INPUT ACCEPT
- $IPT -P FORWARD ACCEPT
- $IPT -P OUTPUT ACCEPT
- exit 0
- ;;
- restart)
- echo "Deteniendo firewall-iptables..." ; $0 stop && echo -e "\e[1;32mOK\e[0m"
- echo "Iniciando firewall-iptables..." ; $0 start
- [[ $? -ne 0 ]] && echo -e "\e[1;31mKO\e[0m" && exit $?
- echo -e "\e[1;32mOK\e[0m"
- ;;
- status)
- $IPT -L -n -v
- ;;
- *) echo "Uso: `basename $0` [start|stop|restart|status]"
- ;;
- esac
- else
- echo "Uso: `basename $0` [start|stop|restart|status]"
- fi
- ######## END /bin/firewall-iptables #########
- ######## START /etc/iptables.up.rules #########
- # Interfaces
- # WAN enp0s3
- # LAN enp0s8
- # DMZ enp0s9
- *nat
- # Politicas por defecto
- -P POSTROUTING ACCEPT
- -P PREROUTING ACCEPT
- # Indicamos la interfaz con la que hacemos NAT especificando las subredes
- -A POSTROUTING -s 192.168.128.0/24 -o enp0s3 -j MASQUERADE
- -A POSTROUTING -s 172.16.0.0/24 -o enp0s3 -j MASQUERADE
- COMMIT
- *filter
- # Politicas por defecto
- -P INPUT DROP
- -P FORWARD DROP
- -P OUTPUT ACCEPT
- # Aceptar todas las conexiones ya establecidas con otros equipos
- -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- ### FORWARD START ###
- # Bloqueo reenvío explícito entre DMZ y LAN
- -A FORWARD -i enp0s9 -o enp0s8 -j DROP
- # Habilitar reenvío de interfaz LAN a WAN
- -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
- -A FORWARD -i enp0s3 -o enp0s8 -m state --state ESTABLISHED,RELATED -j ACCEPT
- # Habilitar reenvío de interfaz DMZ a WAN
- -A FORWARD -i enp0s9 -o enp0s3 -j ACCEPT
- -A FORWARD -i enp0s3 -o enp0s9 -m state --state ESTABLISHED,RELATED -j ACCEPT
- ### FORWDARD END ###
- # Permitir todo loopback (lo0) y rechazar todo el trafico de 127/8 que no use lo0
- -A INPUT -i lo -j ACCEPT
- -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
- # Permitir las conexiones a la interfaz LAN desde su subred
- #-A INPUT -i enp0s8 -j ACCEPT
- -A INPUT -i enp0s8 -s 192.168.128.0/24 -j ACCEPT
- # Permitir DHCP en LAN
- -A INPUT -p udp -i enp0s8 --dport 67:68 -j ACCEPT
- # Permitir las conexiones a la interfaz DMZ desde su subred
- #-A INPUT -i enp0s9 -j ACCEPT
- -A INPUT -i enp0s9 -s 172.16.0.0/24 -j ACCEPT
- # Permitir SSH desde HOST Anfitrión WINDOWS a interfaz WAN
- -A INPUT -i enp0s3 -p tcp -m state --state NEW --dport 22 -j ACCEPT
- #-A INPUT -i enp0s3 -s 192.168.0.3 -p tcp -m state --state NEW --dport 22 -j ACCEPT
- #-A INPUT -i enp0s3 -s 192.168.0.3 -p tcp -m mac --mac-source 4C:CC:6A:FD:0F:F8 -m state --state NEW --dport 22 -j ACCEPT
- ### BLOQUEAR RESTO ###
- -A INPUT -j DROP
- -A FORWARD -j REJECT
- -A OUTPUT -j ACCEPT
- COMMIT
- ######## END /etc/iptables.up.rules #########
Add Comment
Please, Sign In to add comment