Diferència entre revisions de la pàgina «Sol script iptables»

De wikiserver
Dreceres ràpides: navegació, cerca
 
(Hi ha una revisió intermèdia del mateix usuari que no es mostren)
Línia 68: Línia 68:
 
#11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2  
 
#11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2  
 
   
 
   
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT
+
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT
+
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 20 -j ACCEPT
+
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 20 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 21 -j ACCEPT
+
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 21 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
+
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP     #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
+
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP     #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
+
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP     #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP
+
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP     #bloqueo
  
  
 
#12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
 
#12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
 
    
 
    
#iptables -A INPUT -s 193.110.128.109 -j DROP   
+
#iptables -A FORWARD -s 193.110.128.119 -j DROP   
  
  

Revisió de 08:12, 6 abr 2018

#!/bin/sh
# Script cortafuegos.sh para la configuración de iptables
#
# Primero borramos todas las reglas previas que puedan existir
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# Después definimos que la politica por defecto sea ACEPTAR
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#---------Aquí irán las reglas de iptables


#3- Queremos denegar las conexiones HTTP y HTTPS a toda nuestra LAN

#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 443 -j DROP


#4- Queremos permitir que un ordenador de la red 10.0.0.2 tenga conexión HTTP y HTTPS dentro de esa LAN
   
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT   #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -j DROP                         #bloqueo


#5- Denegamos acceso al aula 1
  
#iptables -A FORWARD -s 10.0.1.0/24 -j DROP


#6-Cerramos el rango de puertos 1 al 1024 desde cualquier origen.

#iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
#iptables -A FORWARD -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP


#7-Cerramos el rango de puertos 1 al 1024 desde cualquier origen EXCEPTO el puerto HTTP y HTTPS para la ip 10.0.0.2
   
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT   #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP    #bloqueo


#8-Se desea bloquear el ping al cortafuegos ICMP desde cualquier máquina.
   
#iptables -A INPUT -p icmp -j DROP


#9-Rechazamos todo el tráfico que ingrese a nuestra red LAN 10.0.0.0/8 desde una red remota, como Internet, a través de la interfaz eth0.
   
#iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -d 10.0.0.0/8 -j DROP


#10-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) a la LAN

#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP


#11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2 
 
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT  #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 20 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 21 -j ACCEPT   #excepción  ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP      #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP     #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP      #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP      #bloqueo


#12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
   
#iptables -A FORWARD -s 193.110.128.119 -j DROP   




#---------
# Hacemos NAT si IP origen 10.0.0.0/8 y salen por eth0
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
# Activamos el enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
# Comprobamos cómo quedan las reglas
iptables -L -n