Editar esta página Enlaces a esta página Exportar a PDF Has cargado una revisión vieja del documento! Si la guardas crearás una versión nueva con estos datos. Archivos Multimedia #!/bin/bash modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp #Habilitamos siempre el forwarding echo 1 > /proc/sys/net/ipv4/ip_forward DMZIFACE="em1" LOCALIFACE="em3" INETIFACE="em2" VPNIFACE="tapm" VPNALLIFACE="tap+" DMZNET="10.12.13.0/24" LOCALNET="10.12.12.0/24" echo "FIREWALL 2.0, bloqueos a la carta." echo "Iniciando ........ " #Ponemos todo a cero iptables -F iptables -X iptables -Z #Politicas por defecto iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -F iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -A POSTROUTING -s $LOCALNET -o $INETIFACE -j MASQUERADE iptables -t nat -A POSTROUTING -s $DMZNET -o $INETIFACE -j MASQUERADE #Aceptamos las conexiones ya establecidas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -m state --state NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ############################################ ## REGLAS PARA EL INPUT ## ############################################ #Cerramos a atacantes iptables -A INPUT -s 185.87.121.5 -j DROP # Permitimos los pings iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT #Abrimos puertos apache para acceso desde el exterior iptables -A INPUT -p tcp --dport 8080 -j ACCEPT iptables -A INPUT -p tcp --dport 8888 -j ACCEPT # zabbix desde fuera #Abrimos en el INPUT el ssh desde cualquier interfaz iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 2222 -j ACCEPT #Abrimos en el INPUT el openvpn desde cualquier interfaz iptables -A INPUT -p udp --dport 1194 -j ACCEPT #Abrimos en el INPUT el agente de Zabbix para cualquier interfaz iptables -A INPUT -p tcp --dport 10050 -j ACCEPT iptables -A INPUT -p tcp --dport 10051 -j ACCEPT iptables -A INPUT -p udp --dport 10050 -j ACCEPT iptables -A INPUT -p udp --dport 10051 -j ACCEPT iptables -A OUTPUT -p tcp --dport 10050 -j ACCEPT iptables -A OUTPUT -p tcp --dport 10051 -j ACCEPT iptables -A OUTPUT -p udp --dport 10050 -j ACCEPT iptables -A OUTPUT -p udp --dport 10051 -j ACCEPT #Abrimos en el INPUT dns para las vpn, la dmz y localnet iptables -A INPUT -i $DMZIFACE -p udp --dport 53 -j ACCEPT iptables -A INPUT -i $VPNALLIFACE -p udp --dport 53 -j ACCEPT iptables -A INPUT -i $LOCALIFACE -p udp --dport 53 -j ACCEPT #Abrimos en el INPUT dhcp para las dmz, localnet y VNP iptables -A INPUT -i $DMZIFACE -p udp --dport 67 -j ACCEPT iptables -A INPUT -i $LOCALIFACE -p udp --dport 67 -j ACCEPT iptables -A INPUT -i $VPNALLIFACE -p udp --dport 67 -j ACCEPT #Abrimos en el INPUT snmp para las dmz iptables -A INPUT -i $DMZIFACE -p udp --dport 161 -j ACCEPT iptables -A INPUT -i $DMZIFACE -p tcp --dport 161 -j ACCEPT iptables -A INPUT -i $DMZIFACE -p udp --dport 162 -j ACCEPT iptables -A INPUT -i $DMZIFACE -p tcp --dport 162 -j ACCEPT ####################################################### ## Puertos y forward para el SVN y BBDD de Gureak ## ####################################################### ## 212.81.199.242 iptables -I OUTPUT -o $INETIFACE -d 0.0.0.0/0 -j ACCEPT iptables -I INPUT -i $INETIFACE -m state --state ESTABLISHED,RELATED -j ACCEPT # MySQL #iptables -A INPUT -s $OTXARKOAGA -i eth0 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 3306 -j DNAT --to 10.12.13.11:3306 iptables -A FORWARD -p tcp -d 10.12.13.11 --dport 3306 -j ACCEPT # MySQL TIENDADONDE #iptables -A INPUT -p tcp --dport 3307 -j ACCEPT #iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 3307 -j DNAT --to 10.12.13.20:3307 #iptables -A FORWARD -p tcp -d 10.12.13.20 --dport 3307 -j ACCEPT # SVN iptables -A INPUT -p tcp --dport 8081 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 8081 -j DNAT --to 10.12.13.10:80 iptables -A FORWARD -p tcp -d 10.12.13.11 --dport 80 -j ACCEPT # SVN (prueba Igor) iptables -A INPUT -s 0.0.0.0 -i $INETIFACE -p tcp --dport 8090 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 8090 -j DNAT --to 10.12.13.18:8090 iptables -A FORWARD -p tcp -d 10.12.13.18 --dport 8090 -j ACCEPT # SSH iptables -A INPUT -s 0.0.0.0 -i $INETIFACE -p tcp --dport 22 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 22 -j DNAT --to 10.12.13.9:22 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 22 -j ACCEPT # Apache y plesk en kokodrilo iptables -A INPUT -s 10.12.13.9 -i $INETIFACE -p tcp --dport 80 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 80 -j DNAT --to 10.12.13.9:80 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 80 -j ACCEPT iptables -A INPUT -s 10.12.13.9 -i $INETIFACE -p tcp --dport 443 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 443 -j DNAT --to 10.12.13.9:443 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 443 -j ACCEPT iptables -A INPUT -s 10.12.13.9 -i $INETIFACE -p tcp --dport 8443 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 8443 -j DNAT --to 10.12.13.9:8443 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 8443 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 8447 -j DNAT --to 10.12.13.9:8447 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 8447 -j ACCEPT # Apache en ZABBIX iptables -A INPUT -s 0.0.0.0 -i $INETIFACE -p tcp --dport 8888 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 8888 -j DNAT --to 10.12.13.16:80 iptables -A FORWARD -p tcp -d 10.12.13.16 --dport 80 -j ACCEPT iptables -A INPUT -s 10.12.13.16 -i $INETIFACE -p tcp --dport 443 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 443 -j DNAT --to 10.12.13.16:443 iptables -A FORWARD -p tcp -d 10.12.13.16 --dport 443 -j ACCEPT # Acceso FTP iptables -A INPUT -s 10.12.13.9 -i $INETIFACE -p tcp --dport 21 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 21 -j DNAT --to 10.12.13.9:21 iptables -A FORWARD -p tcp -d 10.12.13.9 --dport 21 -j ACCEPT # Acceso SSH FIELME VIEJO iptables -A INPUT -s 0.0.0.0 -i $INETIFACE -p tcp --dport 2222 -j ACCEPT iptables -A PREROUTING -t nat -i $INETIFACE -p tcp --dport 2222 -j DNAT --to 10.12.13.20:22 iptables -A FORWARD -p tcp -d 10.12.13.20 --dport 22 -j ACCEPT exit 0 Send linkbacks for external links Guardar Previsualización Cancelar Resumen de la edición Nota: Al editar esta página, estás de acuerdo en autorizar su contenido bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International