Editar esta página Enlaces a esta página Exportar a PDF Has cargado una revisión vieja del documento! Si la guardas crearás una versión nueva con estos datos. Archivos Multimedia **Configuración escrita:** #!/bin/bash #Habilitamos siempre el forwarding echo 1 > /proc/sys/net/ipv4/ip_forward DMZIFACE="eth1" LOCALIFACE="eth2" INETIFACE="eth0" VPNIFACE="tun0" VPNALLIFACE="tun+" DMZNET="10.12.13.0/24" LOCALNET="10.12.12.0/24" VPNNET="10.12.14.0/24" case "$1" in start) echo "Iniciando Firewall... \n" #Ponemos todo a cero iptables -F iptables -X iptables -Z #Politicas por defecto iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -t nat -F iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT #Aceptamos las conexiones ya establecidas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -m state --state NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################ ## REGLAS PARA EL INPUT ## ############################################ # Permitimos los pings iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT # Permitimos snmp para todos - cacty iptables -A INPUT -p snmp -m state --state NEW -j ACCEPT (DMZ) #Abrimos en el INPUT el ssh desde cualquier red conocida iptables -A INPUT -s 10.12.12.0/24 -i eth2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 10.12.13.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 10.12.14.0/24 -i tun0 -p tcp --dport 22 -j ACCEPT #Abrimos en el INPUT el openvpn desde cualquier interfaz iptables -A INPUT -p udp --dport 1194 -j ACCEPT #Abrimos en el INPUT dns para las vpn, la dmz y localnet iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i tun0 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT #Abrimos en el INPUT dhcp para la localnet iptables -A INPUT -i eth2 -p udp --dport 67 -j ACCEPT #Abrimos en el INPUT ntp para any iptables -A INPUT -p udp --dport 67 -j ACCEPT ############################################ ## REGLAS PARA TODOS LOS FORWARDS ## ############################################ # Permitimos los pings iptables -A FORWARD -p icmp -m state --state NEW -j ACCEPT ############################################ ## REGLAS PARA EL FORWARD desde la DMZ ## ############################################ ##DMZ(eth1) --> Internet(eth0) #Tráfico desde DMZ a Internet por www,ssh/sftp,https enmascaramos. iptables -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --destination-ports 80,22,443 -m state --state NEW -j ACCEPT #abrimos desde srv de DMZ (datos, web, backup)a internet para correo #iptables -A FORWARD -i eth1 -o $INETIFACE --dport 25 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 10.12.13.10 -i eth1 -o eth0 --dport 25 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 10.12.13.12 -i eth1 -o eth0 --dport 25 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 10.12.13.11 -i eth1 -o eth0 --dport 25 -m state --state NEW -j ACCEPT #Acceso desde srv-datos a MySql para???? #iptables -A FORWARD -s 10.12.13.10 -i eth1 -o eth0 -p tcp --dport 3306 -m state --state NEW -j ACCEPT #Conexión de srvweb a as400 de Salica puertos¿? iptables -A FORWARD -s 10.12.13.12 -i eth1 -d 194.30.40.94 -o eth0 -m state --state NEW -j ACCEPT #Conexión de srvweb a ENBOR de ingesit puertos¿? iptables -A FORWARD -s 10.12.13.12 -i eth1 -d 212.81.222.114 -o eth0 -m state --state NEW -j ACCEPT #Conexión de srvweb a ENBOR de Basterra puertos¿? iptables -A FORWARD -s 10.12.13.12 -i eth1 -d 212.81.209.194 -o eth0 -m state --state NEW -j ACCEPT #Conexión de srvweb y ???? a SQL SERVER de Gastrobaska puertos¿? iptables -A FORWARD -s 10.12.13.12 -i eth1 -d 212.8.98.176 -o eth0 -m state --state NEW -j ACCEPT #iptables -A FORWARD -s 10.12.12.70 -i eth2 -d 212.8.98.176 -o eth0 -m state --state NEW -j ACCEPT ##DMZ --> Any #Abrimos desde srv-backup a any (tb internet????) por servicios rsync iptables -A FORWARD -s 10.12.13.11 -i eth1 -p tcp --dport 873 -m state --state NEW -j ACCEPT **** #Enrutado y enmascaramiento de la DMZ hacia internet iptables -t nat -A POSTROUTING -s $DMZNET -i eth1 -o eth0 -j MASQUERADE ############################################ ## REGLAS PARA EL FORWARD desde la LOCAL ## ############################################ ##LOCAL --> DMZ #Tráfico desde local a en DMZ (datos, web, backup) por servicios samba, http, https, ssh, netbios_tcp y 445 iptables -A FORWARD -i eth2 -d 10.12.13.10 -o eth1 -p tcp -m multiport --destination-ports 999,80,22,443,139,445 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth2 -d 10.12.13.12 -o eth1 -p tcp -m multiport --destination-ports 999,80,22,443,139,445 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth2 -d 10.12.13.11 -o eth1 -p tcp -m multiport --destination-ports 80,22,443 -m state --state NEW -j ACCEPT #habilitamos tráfico netbios_udp desde local a DMZ (datos, web, backup) iptables -A FORWARD -i eth2 -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth2 -d 10.12.13.10 -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth2 -d 10.12.13.12 -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT #habilitamos tráfico desde local a la centralita todo y todos?? iptables -A FORWARD -i eth2 -d 10.12.13.100 -o eth1 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 10.12.13.100 -i eth1 -o eth2 -m state --state NEW -j ACCEPT #abrimos desde local hacia srv-datos y srv-web el mysql iptables -A FORWARD -i eth2 -d 10.12.13.10 -o eth1 -p tcp --dport 3306 -m state --state NEW -j ACCEPT iptables -A FORWARD -i eth2 -d 10.12.13.12 -o eth1 -p tcp --dport 3306 -m state --state NEW -j ACCEPT ##LOCAL --> INTERNET #abrimos trafico desde local hacia internet iptables -A FORWARD -i eth2 -o eth0 -p tcp -m state --state NEW -j ACCEPT #enrutado y enmascaramiento iptables -t nat -A POSTROUTING -s $LOCALNET -i eth2 -o eth0 -j MASQUERADE #dejamos todo el trafico desde local hacia el tun0???? #iptables -A FORWARD -i eth2 -o $VPNIFACE -m state --state NEW -j ACCEPT ############################################ ## REGLAS PARA EL FORWARD desde la VPN ## ############################################ #Trafico abierto entre tuneles???? #iptables -A FORWARD -i $VPNALLIFACE -o $VPNALLIFACE -j ACCEPT #VPN --> DMZ #Acceso desde VPN en DMZ (datos, web, backup) por servicios samba, http, https, ssh, netbios_tcp y 445 iptables -A FORWARD -i $VPNALLIFACE -d 10.12.13.10 -o eth1 -p tcp -m multiport --destination-ports 999, 80, 22,443,139, 445 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $VPNALLIFACE -d 10.12.12.12 -o eth1 -p tcp -m multiport --destination-ports 999, 80, 22,443,139, 445 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $VPNALLIFACE -d 10.12.13.11 -o eth1 -p tcp -m multiport --destination-ports 22,443,-m state --state NEW -j ACCEPT #habilitamos tráfico netbios_udp desde VPN a DMZ (datos, web, backup) iptables -A FORWARD -i $VPNALLIFACE -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $VPNALLIFACE -d 10.12.13.10 -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $VPNALLIFACE -d 10.12.13.12 -o eth1 -p udp -m multiport --destination-ports 137,138 -m state --state NEW -j ACCEPT echo "iniciado" ;; stop) #Ponemos todo a cero iptables -F iptables -X iptables -Z #Politicas por defecto iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -F iptables -t nat -A POSTROUTING -s $LOCALNET -o $INETIFACE -j MASQUERADE iptables -t nat -A POSTROUTING -s $DMZNET -o $INETIFACE -j MASQUERADE echo "Parando el Firewall... \n" echo "Queda todo abierto \n" ;; status) echo "********************* Reglas de Filtrado ************************" iptables -v -n --line-numbers -x -t filter -L echo "*****************************************************************" ;; *) echo "Firewall: Script para la administracion de Firewall /n" echo "Uso: Firewall {start|stop|status} /n" ;; esac exit 0 Send linkbacks for external links Guardar Previsualización Cancelar Resumen de la edición Nota: Al editar esta página, estás de acuerdo en autorizar su contenido bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International