Sol script iptables
De wikiserver
La revisió el 07:50, 6 abr 2018 per Jnoguera (Discussió | contribucions)
#!/bin/sh
# Script cortafuegos.sh para la configuración de iptables
#
# Primero borramos todas las reglas previas que puedan existir
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# Después definimos que la politica por defecto sea ACEPTAR
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#---------Aquí irán las reglas de iptables
#3- Queremos denegar las conexiones HTTP y HTTPS a toda nuestra LAN
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 443 -j DROP
#4- Queremos permitir que un ordenador de la red 10.0.0.2 tenga conexión HTTP y HTTPS dentro de esa LAN
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -j DROP #bloqueo
#5- Denegamos acceso al aula 1
#iptables -A FORWARD -s 10.0.1.0/24 -j DROP
#6-Cerramos el rango de puertos 1 al 1024 desde cualquier origen.
#iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
#iptables -A FORWARD -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
#7-Cerramos el rango de puertos 1 al 1024 desde cualquier origen EXCEPTO el puerto HTTP y HTTPS para la ip 10.0.0.2
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT #hay que añadir primero las excepciones y luego el bloqueo
#iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP #bloqueo
#8-Se desea bloquear el ping al cortafuegos ICMP desde cualquier máquina.
#iptables -A INPUT -p icmp -j DROP
#9-Rechazamos todo el tráfico que ingrese a nuestra red LAN 10.0.0.0/8 desde una red remota, como Internet, a través de la interfaz eth0.
#iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -d 10.0.0.0/8 -j DROP
#10-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) a la LAN
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP
#11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT #excepción ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT #excepción ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 20 -j ACCEPT #excepción ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 21 -j ACCEPT #excepción ip 10.0.0.2/32
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP #bloqueo
#iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP #bloqueo
#12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
#iptables -A INPUT -s 193.110.128.109 -j DROP
#---------
# Hacemos NAT si IP origen 10.0.0.0/8 y salen por eth0
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
# Activamos el enrutamiento
echo 1 > /proc/sys/net/ipv4/ip_forward
# Comprobamos cómo quedan las reglas
iptables -L -n